Exploit protokołu Solv wyciąga 2,7 mln USD w SolvBTC, oferowana nagroda 10%

Skoncentrowany na Bitcoinie protokół Solv został zhakowany w czwartek, w wyniku czego z jednego z jego skarbców tokenów wypłynęło około 2,7 miliona dolarów. Projekt zaoferował atakującym 10% nagrodę.

Protokół Solv to platforma DeFi, która pozwala użytkownikom stakować Bitcoin za pośrednictwem swojej warstwy abstrakcji stakingu. 

Zgodnie z aktualizacją po incydencie, około 38 Solv Protocol BTC (SolvBTC), które projekt wykorzystuje do generowania zysków i działalności pożyczkowej w swoim ekosystemie, zostało wypłukanychz jednego ze strukturyzowanych skarbców zysku o nazwie Bitcoin Reserve Offerings (BRO).

Protokół Solv poinformował, że incydent dotknął mniej niż 10 użytkowników i dodał, że zrekompensuje stratę 38,05 SolvBTC, co stanowi około 2,7 miliona dolarów.

Chociaż pełna analwa pośmiertna incydentu nie została jeszcze opublikowana, zewnętrzni analitycy bezpieczeństwa uważają, że atakujący był w stanie wykorzystać lukę podwójnego mintowania w kontrakcie BitcoinReserveOffering.

Według zautomatyzowanego bota firmy Decurity zajmującej się bezpieczeństwem, exploit był w stanie wywołać podatność 22 razy, co pozwoliło mu napompować 135 BRO do około 567 milionów tokenów BRO przed konwersją środków na SolvBTC.

Tymczasem pseudonimowy badacz kryptowalut zidentyfikowany jako Pyro opisał incydent jako atak reentrancy, powszechny exploit, w którym powtarzające się wywołania inteligentnego kontraktu pozwalają atakującym manipulować wewnętrzną księgowością, zanim salda zostaną prawidłowo zaktualizowane.

W międzyczasie protokół Solv zaoferował 10% nagrodę, jeśli atakujący zwrócą środki na wyznaczony adres. Ponadto projekt twierdzi, że współpracuje ze swoimi partnerami ds. bezpieczeństwa w celu załatania podatności.

W momencie publikacji atakujący nie wskazali jeszcze, czy zamierzają zwrócić skradzione środki.

To jeden z kilku ataków, które ostatnio miały na celu protokoły DeFi.

Na początku tygodnia rynki sDOLA LlamaLend protokołu Curve Finance zostały zhakowane przez podatność związaną z konfiguracją oracle puli, a atakujący podobno zarobił około 240 000 dolarów, manipulując mechanizmem ustalania cen za pomocą pożyczki flash w celu wywołania likwidacji.

Na początku lutego międzyłańcuchowy protokół płynności CrossCurve również stracił około 3 miliony dolarów po tym, jak atakujący wykorzystali lukę w jego inteligentnym kontrakcie, która umożliwiła fałszywym wiadomościom międzyłańcuchowym ominięcie walidacji bramki i odblokowanie środków z kontraktu PortalV2.