L'exploit de Solv Protocol draine 2,7M$ en SolvBTC, une prime de 10% offerte

Le protocole Solv Protocol, axé sur Bitcoin, a été exploité jeudi, entraînant le drainage d'environ 2,7 millions de dollars de fonds provenant de l'un de ses coffres-forts de tokens. Le projet a offert une prime de 10 % aux attaquants.

Solv Protocol est une plateforme DeFi qui permet aux utilisateurs de staker du Bitcoin via sa couche d'abstraction de staking. 

Selon une mise à jour post-incident, environ 38 Solv Protocol BTC (SolvBTC), que le projet utilise pour les activités génératrices de rendement et de prêt dans son écosystème, ont été drainés de l'un de ses coffres-forts de rendement structuré appelé Bitcoin Reserve Offerings (BRO).

Solv Protocol a déclaré que l'incident avait affecté moins de 10 utilisateurs et a ajouté qu'il compenserait la perte de 38,05 SolvBTC, soit environ 2,7 millions de dollars.

Bien qu'une analyse complète post-mortem de l'incident n'ait pas encore été publiée, des analystes de sécurité tiers estiment que l'attaquant a pu exploiter une faille de double frappe dans un contrat BitcoinReserveOffering.

Selon le bot automatisé de la société de sécurité Decurity, l'exploiteur a pu déclencher la vulnérabilité 22 fois, ce qui lui a permis de gonfler 135 BRO en environ 567 millions de tokens BRO avant de convertir les fonds en SolvBTC.

Pendant ce temps, un chercheur crypto pseudonyme identifié comme Pyro a décrit l'incident comme une attaque par réentrance, une exploitation courante où des appels répétés à un smart contract permettent aux attaquants de manipuler la comptabilité interne avant que les soldes ne soient correctement mis à jour.

Entre-temps, Solv Protocol a offert une prime de 10 % si les attaquants retournent les fonds à l'adresse désignée. De plus, le projet affirme travailler avec ses partenaires de sécurité pour corriger la vulnérabilité.

Au moment de la publication, les attaquants n'ont pas encore indiqué s'ils ont l'intention de restituer les fonds volés.

Il s'agit de l'une des plusieurs attaques qui ont récemment ciblé les protocoles DeFi.

Plus tôt dans la semaine, les marchés sDOLA LlamaLend de Curve Finance ont été exploités via une vulnérabilité liée à la configuration de l'oracle du pool, et l'attaquant aurait gagné environ 240 000 dollars en manipulant le mécanisme de tarification à l'aide d'un flash loan pour déclencher des liquidations.

Début février, le protocole de liquidité cross-chain CrossCurve a également perdu environ 3 millions de dollars après que des attaquants aient exploité une faille dans son smart contract qui permettait à des messages cross-chain falsifiés de contourner la validation de la passerelle et de débloquer des fonds du contrat PortalV2.