安全审计公司Neodyme最近发现并修改了Solana库(SPL )令牌出借合同的漏洞。 这个漏洞在几个月前被发现，可能影响了拥有20亿美元以上总价值锁定(TVL )的几个分散金融协定。 他们的小组使用该合同(或其衍生物)确定了可能的协议，并立即查明了错误。

solanasplroundingbugputsfundsatrisk

作为Solana库(SPL )一部分的令牌贷款合同存在漏洞。 这是一组针对Solana上的Sealevel并行运行时链上的程序，将多个协议的资金置于风险之中。 虽然Neodyme是一家安全机构，几个月前披露了这个漏洞并发出了警报，但由于明显的无害影响，这个漏洞并未得到解决。

此错误会导致舍入错误，传递的令牌比用户在合同中存入的令牌多。 但是，如果没有对这个脆弱性的直接的组织性攻击，就不能利用这个脆弱性。 鉴定组Neodyme设法复制了它，并编写了利用它的脚本。

开放资源汇入

利用这一漏洞，这些协议上的多个令牌中有20亿美元以上逐渐枯竭的风险。 更重要的是，如果攻击是以智能方式进行的，则不会触发警报，而只会在某些池中被检测为APY的缓慢排放。 Neodyme论述了开源代码对审计员的重要性，以纠正这些错误。 那曰：

我们相信最安全的代码是开源的。 作为审计员，我相信编写更好的代码的最好方法之一是了解漏洞。

发现此漏洞后，Neodyme与可能将程序用作操作工具的团队共享了其存在。 其中有些协议在Solana链上不是开源的，用户无法直接验证。 因此，很难直接验证这些平台是否因漏洞而可用。 但是，他们会和这些协议背后的团队进行沟通，这些团队会单独解决问题。

SPL令牌贷款合同以前已经过审查，使用该合同的两个项目也经过了独立审核。 这是Kudelski的Solend和Slowmist的lariion。