Connect with us

Berita Kripto

Bug Blockchain Solana (SOL) Dapat Menyebabkan Kerugian Ratusan Juta Dolar

Solana logo
Pengguna ekosistem Solana dapat berterima kasih kepada tim pakar keamanan Neodyme. Memang, mereka mendeteksi dan kemudian memperbaiki bug yang memungkinkan siapa pun mencuri ribuan dolar per detik dari berbagai protokol.

Sebuah bug dilaporkan tetapi tidak pernah diperbaiki

Neodyme adalah tim peneliti keamanan siber, yang terdiri dari para ahli yang berspesialisasi dalam berbagai teknologi, termasuk blockchain dan kontrak pintar. Dalam sebuah pernyataan yang diposting di blognya, Neodymium mengungkapkan bahwa mereka baru-baru ini menemukan kelemahan kritis dalam protokol Solana Program Library (SPL).
Kami mengetahui bahwa bug tersebut awalnya ditemukan Juni lalu oleh seorang peneliti dari tim Neodymium dan dipublikasikan di GitHub . Namun, dia menjelaskan bahwa pada titik ini, tidak mungkin untuk menentukan apakah bug tersebut dapat dieksploitasi. Yang satu ini dengan demikian tidak diperhatikan.
Namun, pada 1 Desember, peneliti yang sama ini menemukan bahwa kesalahan itu masih ada dan tidak ada yang dilakukan untuk memperbaikinya. Selain itu, ini mengancam banyak protokol di ekosistem Solana (SOL), seperti agregator hasil Tulip Protocol dan platform pinjaman Solend dan Larix. Proyek yang saat ini mengelola dana $1,7 miliar .
Oleh karena itu, tim Neodymium melakukan serangkaian tes untuk memverifikasi apakah kelemahan ini dapat dieksploitasi dan mungkin memperbaikinya . Menurut siaran pers, pekerjaan para peneliti dan kontribusi tim dari protokol terkait memungkinkan untuk dengan cepat memperbaiki situasi dan melindungi pengguna. Tapi apa bug ini dan apa yang bisa terjadi?

Kesalahan pembulatan sederhana…

Dalam siaran pers lainnya, Neodymium menjelaskan cara kerja bug yang mengancam Perpustakaan Program Solana . Sederhananya, ketika Anda menyetor dana pada protokol, nilai aset Anda berubah seiring waktu. Saat menarik, ia dapat memiliki banyak digit setelah titik desimal. Inilah sebabnya mengapa beberapa protokol mengandalkan SPL untuk membulatkan  jumlah yang dikembalikan ke tempat desimal terdekat.
Pertimbangkan unit referensi terkecil di ekosistem Solana. Ini disebut Lamport dan bernilai 0,000000001 SOL (prinsipnya sama dengan satoshi , unit Bitcoin yang lebih kecil). Jika Anda menyetor sejumlah 1,5 Lamport dalam protokol pinjaman maka Anda akan menerima 2 Lamport saat penarikan. Sebaliknya, jika jumlah ini hanya bernilai 1,4 Lamport saat melakukan penarikan, Anda hanya akan menerima 1 Lamport. Rata-rata, ini harus diimbangi dengan menciptakan nilai sebanyak yang dihilangkan.
Namun, para peneliti telah menunjukkan bahwa dengan mengeksploitasi sistem ini dengan sangat cepat, dimungkinkan untuk memulihkan jumlah kecil dengan setiap setoran dan penarikan dana. Dengan mengulangi operasi berkali-kali, jumlah total yang dipulihkan bisa sangat besar.

Itu bisa menghabiskan biaya ratusan juta dolar!

Dengan menguji teori mereka pada replika blockchain, para ahli Neodymium berhasil mencuri 0,000001 BTC ($ 0,047) . Mereka memperkirakan bahwa mereka dapat menjalankan bug ini 150-200 kali dalam satu transaksi dan menempatkan beberapa transaksi tersebut dalam satu blok. Dengan demikian, strategi semacam itu dapat memungkinkan dana dicuri dengan kecepatan $ 7.500 per detik, atau $27 juta per jam .
Mengenai jumlah total yang bisa dicuri, ini jelas tergantung pada durasi eksploitasi kerentanan sebelum diketahui dan perlindungan diterapkan:
“Serangan itu akan berlangsung selama beberapa hari, jadi itu bisa dihentikan pada saat diketahui. Tetapi sangat sulit untuk mengetahuinya, dan kami tidak yakin ada orang yang memiliki pengawasan yang memadai, terutama ketika serangan itu dilakukan secara perlahan dan hati-hati,” bunyi pernyataan itu. 
Penelitian oleh tim Neodymium telah mengidentifikasi 6 protokol yang berpotensi terancam oleh kelemahan ini: Larix, Tulip, Port, Solend, Soda, dan Acumen. Nilai total aset yang dikelola, dan dengan demikian terancam, adalah sekitar $1,7 miliar . Tidak semua benar-benar beresiko, Neodymium memperkirakan bahwa potensi keuntungan masih mencapai beberapa ratus juta dolar.

Toniid.de adalah blog pribadi yang membahas tentang pengetahuan kripto. Artikel disini secara eksklusif informatif dan mendidik, tidak boleh dianggap sebagai rekomendasi investasi. Penafian: beberapa adalah pendapat penulis dan tidak boleh dianggap sebagai saran investasi. Pembaca harus melakukan penelitian mereka sendiri.

Click to comment

Leave a Reply

Alamat email Anda tidak akan dipublikasikan.