Publicidad

Fallo de SPL de Solana produjo desfalco de $ 27 millones de dólares por hora

El fallo fue revelado públicamente por primera vez por uno de los auditores de Neodyme

-- Publicidad --

Un fallo en la Biblioteca de Protocolos de Solana (SPL), un conjunto de documentos de referencia para los proyectos de Solana, podría haber hecho que los atacantes robaran dinero de múltiples proyectos de la marca a un ritmo de 27 millones de dólares por hora, según los investigadores de seguridad de Neodyme.

Entre los proyectos afectados se encuentran el agregador de rendimientos Tulip Protocol y los protocolos de préstamo Solend y Larix.

Estos proyectos custodian en la actualidad fondos por valor de 1.700 millones de dólares, según supo CriptomonedaseICO.

Descubrir un fallo de mil millones de dólares

El fallo fue revelado públicamente por primera vez por uno de los auditores de Neodyme, conocido como Simon, en la plataforma de intercambio de archivos GitHub en junio.

-- Publicidad --

En ese momento, los investigadores de seguridad no sabían si era explotable ni la magnitud de su impacto. El fallo pasó desapercibido.

El 1 de diciembre, Simon vio que el problema seguía abierto y que el fallo no había sido corregido. Debido a su preocupación, los investigadores de seguridad de Neodyme empezaron a hacer pruebas para ver si era posible explotar el fallo, y para calibrar su gravedad.

El fallo era un “error de redondeo aparentemente inocuo”, según Neodyme, pero rápidamente descubrieron que tenía el potencial de robar una fortuna, en millones de trocitos.

El fallo funcionaba de la siguiente manera. Sencillamente, en las aplicaciones de Solana hay un mecanismo para cuando se introducen y sacan fondos. Si el protocolo seguía los documentos de referencia de SPL, entonces redondearían los fondos al número entero más cercano en el punto de retirada.

Esto sólo ocurriría si al usuario se le debiera una fracción de la unidad de referencia más pequeña, conocida como Lamport (esto es similar a un satoshi, la cantidad más pequeña de bitcoin).

Ahora bien, esto funcionaba en ambos sentidos. Algunas personas acabarían con una fracción extra de sus tokens. Otras personas acabarían con algo menos de lo que les correspondía. Pero sería una cantidad minúscula por persona, y en promedio se igualaría.

Los investigadores se preguntan que si alguien jugara con el sistema, seguramente acabaría llevándose las pequeñas cantidades extra. Y si lo hicieran una y otra vez, tal vez podrían ganar cantidades significativas de dinero.

Los investigadores probaron su teoría en la práctica en una copia de la cadena de bloques. Enviaron una transacción diseñada para explotar el fallo y consiguieron robar 0,000001 BTC (0,047 dólares) debido al error de redondeo.

Los investigadores estimaron que podrían ejecutar este fallo entre 150 y 200 veces en una sola transacción y poner muchas de estas transacciones en un solo bloque.

Calcularon que un exploit de este tipo podría robar fondos a un ritmo de 7.500 dólares por segundo, o 27 millones de dólares por hora.

En términos de cuánto podría robarse en total, es una pregunta abierta sobre cuánto tiempo podría haber durado este tipo de explotación antes de que se advirtiera y se establecieran protecciones.

Eso dependería de lo descarados que fueran los atacantes y de si llevaron a cabo el ataque de forma rápida o lenta. Pero los investigadores sabían que había más de mil millones de dólares en riesgo.

Los investigadores se pusieron rápidamente en contacto con varios proyectos de Solana que creían afectados por este fallo. Dado que muchos proyectos Solana son de código cerrado, fue una tarea mucho más difícil y se equivocaron al identificar un par de proyectos.

Pero consiguieron ponerse en contacto con Solend, Tulip y Larix, que solucionaron el fallo.

Desde que se reveló el fallo, Solana Labs también ha corregido los documentos de referencia para asegurarse de que los nuevos proyectos que sigan sus instrucciones no lo vuelvan a introducir.


Clases y señales de trading !GRATIS!

Si quieres aprender a hacer trading y comerciar como un experto en el proceso, te invitamos a nuestro grupo VIP donde ofrecemos clases y señales de trading totalmente gratuitos.

Para unirte solo debes seguir unos simples pasos:

1.Regístrate en StormGain con este enlace. Con él podrás conseguir un bono de 25 USDT comerciables, con el primer depósito de $110, al colocar el código BONUS25 durante el registro.
2.Envía el ID de tu cuenta al telegram de @MendozasWork. El ID es un número que empieza por 38xxx.
3.Deposita $110 en tu cuenta de StormGain y envía las pruebas de tu depósito a @MendozasWork.
4.Recibe los ingresos a nuestro grupo VIP y comienza a generar ingresos con nuestras señales gratuitas.

Una de las ventajas de nuestro grupo VIP, además de las clases y las señales de trading gratuitas, es que te habrás registrado en Stormgain un intercambio donde puedes sacar ganancias de cada movimiento, subida o bajada, del Bitcoin, Ethereum, XRP, Litecoin, Dash, Zcash, Monero y muchas otras criptomonedas.

Y es que este es un exchange con apalancamiento que está revolucionando al mundo de las criptmonedas, por su alto nivel de apalancamiento, facilidad de uso y su innovador sistema para minar BTC en la nube. Además de ser el partner oficial del equipo del Newcastle de la Premier League.

Lo mejor es que StormGain está ofreciendo 25 USDT a sus nuevos usuarios.

Este exchange se ha convertido en el favorito de los traders en los últimos años, gracias a su amigable interfaz, que permite que el comercio con apalancamiento (de hasta x200) sea muy sencillo, incluso para los operadores más novatos.

Recuerda, si sigues todos los pasos podrás entrar a nuestra plataforma SeñalesCriptomonedas, la cual ya ha estado generando grandes ganancias a sus usuarios.

Solo deben seguir los pasos anteriores y enviar pruebas del depósito, junto con su id de usuario en StormGain, al Telegram de @MendozasWork

Código promocional: BONUS25

Para más información dirígete al grupo de Telegram de StormGain: https://t.me/StormgainLATAM


¡Asegúrese de no perderse ninguna noticia importante relacionada con Criptomonedas! Sigua nuestro feed de noticias de la forma que prefieras; a través de Twitter, Facebook, Telegram, RSS o correo electrónico (desplácese hacia abajo hasta la parte inferior de esta página para suscribirse). Bitcoin nunca duerme. Tampoco nosotros.


Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a CriptomonedaseICO.


¿Utilizas Telegram? Únete a la mejor comunidad de trading en Telegram para recibir Señales Exclusivas de Compra y Venta de criptomonedas, acceso a nuestros Cursos Gratuitos, debates y análisis de proyectos! // www.criptomonedaseico.com

Los comentarios están cerrados.

+ +