Solana 代币借贷合同中的错误已修复，超过 20 亿美元可被利用

最近，安全审计公司Neodyme发现并修复了Solana程序库（SPL）的代币借贷合同中的一个错误。几个月前发现的这个漏洞可能影响了几个持有超过20亿美元总价值锁定（TVL）的去中心化金融协议。他们的团队使用此合约（或其衍生产品）确定了可能的协议，并立即披露了错误。

SolanaSPL舍入错误使资金面临风险

作为Solana程序库(SPL)的一部分的代币借贷合约中的一个错误，这是一组针对Solana上的Sealevel并行运行时的链上程序，使多个协议的资金面临风险。Neodyme是一家安全机构，几个月前就披露了此漏洞并发出了警报，但由于其明显的无害影响，该漏洞并未得到解决。

该错误导致了舍入错误，该错误提供的代币比用户存入合约的代币多。但是，如果没有直接针对漏洞的有组织的攻击，则无法利用该漏洞。审计组Neodyme设法复制了它并创建了一个利用它的脚本。

开源的重要性

这些协议上超过20亿美元的多个代币有可能被利用这一漏洞缓慢耗尽。更重要的是，如果攻击以巧妙的方式进行，它就不会触发任何警报，而只会被检测为某些池中APY的缓慢消耗。Neodyme评论了开源代码对于审计人员参与并帮助纠正此类错误的重要性。它指出：我们相信最安全的代码是开源的，作为审计员，我们相信编写更好代码的最佳方法之一就是了解漏洞。

在发现此漏洞后，Neodyme与可能将该程序用作其操作工具的团队分享了它的存在。其中有一些协议在Solana链上没有开源，用户无法直接验证。这使得他们很难直接验证这些平台是否可被该漏洞利用。但是，他们与这些协议背后的团队进行了沟通，这些团队负责单独解决问题。

SPL代币借贷合约之前已经过审核，使用它的两个项目也已经独立审核：Kudelski的Solend和Slowmist的Larix。