Marginfi 是一种基于 Solana 的借贷协议,它修补了其闪电贷机制中的一个严重漏洞,该漏洞曾一度使超过 1.6 亿美元的用户存款面临风险。
该漏洞由安全研究员 Felix Wilhelm 通过 Marginfi 的漏洞赏金计划披露,攻击者可以利用该漏洞借入资金而无需偿还。该漏洞已在任何漏洞被利用之前得到解决,且未造成任何资金损失。根据针对 Asymmetric Research 的报告。
闪电贷是 DeFi 的一项常见功能,它允许用户借入几乎所有可用的流动性,条件是资金必须在同一区块链交易中偿还。Solana 协议通常通过检查交易中的指令来强制执行此操作,以确保包含偿还步骤。
据 Asymmetric 称,Marginfi 沿用了这种方法,但引入了一条新指令“transfer_to_new_account”,该指令无意中绕过了还款检查。这意味着债务可以在贷款期间转移到新账户,从而可以在不触发保障措施的情况下提取资金。
报告指出,Marginfi 团队迅速部署了补丁,以阻止闪电贷期间的账户转账,并防止已禁用的账户被用于还款。虽然 Solana 的架构限制了一些常见的以太坊式漏洞利用,但该漏洞凸显了逻辑错误仍然是一个严重的威胁。
此次快速解决证明了漏洞赏金计划在防止系统性损失方面发挥了重要作用。过去类似的事件,包括对 Mango Markets 和其他基于 Solana 协议的攻击,都表明闪电贷漏洞可能导致数百万美元的损失。
Marginfi 代表在发布之前没有回应 Blockworks 的评论请求。
这是一个正在发展的故事。
本文由人工智能辅助生成,并由编辑审核杰弗里·阿不思出版前。
