Протокол Solv уязвим для атак, украдено 2,7 миллиона долларов в SolvBTC

Платформа DeFi, основанная на биткоине, Solv Protocol, в четверг объявила о целенаправленной атаке на их резервный пул биткоинов, в результате которой было потеряно 38,0474 SolvBTC, что по рыночной цене на момент атаки составляет примерно 2,7 миллиона долларов. Пострадали менее 10 пользователей.

Механизм атаки: техническая логика уязвимости двойного чеканки

Ключевая проблема этой атаки заключается в том, что смарт-контракт «BitcoinReserveOffering» не смог эффективно предотвратить повторное выполнение функции чеканки. Злоумышленник инициировал 22 раза двойную чеканку, начиная с исходных 135 BRO, в итоге увеличив свои запасы до 567 миллионов BRO (примерно в 4,2 миллиона раз больше первоначального количества), после чего обменял эти искусственно раздутые токены BRO на около 38 SolvBTC для выхода. Весь процесс атаки основан на отсутствии проверки повторного выполнения в контракте, что является высокорискованной уязвимостью в области безопасности смарт-контрактов.

Solv Protocol на платформе X заявил: «Все остальные сейфы и средства пользователей остаются в безопасности и не пострадали. Мы активно сотрудничаем с ведущими специалистами по безопасности и приняли меры для предотвращения подобных инцидентов в будущем.»

Меры по компенсации убытков: обязательства по возмещению, проверка безопасности и программа белых хакеров

Реакция Solv на инцидент включает три уровня:

Обязательство полного возмещения: Solv заявила, что возьмет на себя все убытки в размере 38,0474 SolvBTC, гарантируя полное возмещение менее 10 пострадавших пользователей и исключая возможность потерь из-за уязвимости платформы.

Совместное расследование с ведущими компаниями по безопасности: Solv сотрудничает с Hypernative Labs, SlowMist и CertiK для проведения совместного аудита и уже внедрила меры для предотвращения повторного использования той же уязвимости.

Программа наград для белых хакеров (White Hat Bounty): Solv предложила злоумышленнику 10% награды за белого хакера в обмен на возврат оставшихся средств — распространённый механизм урегулирования подобных инцидентов в DeFi.

Обзор масштабов и структура Solv Protocol

На момент атаки Solv Protocol позиционирует себя как крупнейший в мире ончейн-резерв биткоинов. Официальный сайт показывает, что на счету у платформы находится 24 226 биткоинов. Согласно данным DefiLlama, общая заблокированная стоимость в SolvBTC превышает 508 миллионов долларов, что значительно больше украденных 2,7 миллиона долларов. Solv подчеркнула, что это «ограниченная атака», которая не оказала системного воздействия на весь протокол.

Инвесторами Solv являются такие компании, как Blockchain Capital. В прошлом году Beijing Zeda Network Group (NASDAQ: ZNB) объявила о планах привлечь 230 миллионов долларов через частное размещение для создания криптовалютных хранилищ, включающих BTC и SolvBTC, что свидетельствует о растущем интересе институциональных инвесторов к активам Solv.

Часто задаваемые вопросы

Что такое SolvBTC и как он работает?
SolvBTC — это флагманский токен-обертка биткоина от Solv Protocol, позволяющий розничным и институциональным инвесторам получать доход, одновременно держа биткоины. Пользователи могут внести биткоины в ончейн-резервный пул Solv и получить взамен токен SolvBTC, который представляет их долю в основном пуле биткоинов и может использоваться в DeFi-экосистеме.

Как была использована уязвимость двойной чеканки в этой атаке?
Злоумышленник вызвал функцию двойной чеканки в смарт-контракте «BitcoinReserveOffering» 22 раза, обходя нормальную проверку количества, что привело к увеличению исходных 135 BRO до более 567 миллионов, после чего обменял их на около 38 SolvBTC для вывода средств. Весь процесс основан на том, что контракт не смог правильно предотвратить повторное выполнение функции.

Повлияли ли другие средства пользователей Solv Protocol?
По официальному заявлению Solv, атака ограничилась только резервом BRO, пострадали менее 10 пользователей, остальные сейфы и средства не затронуты. Компания пообещала полностью компенсировать убытки пострадавших и совместно с Hypernative Labs, SlowMist и CertiK провести аудит безопасности.