Eksploitasi Solv Protocol menguras $2,7 juta dalam SolvBTC, bounty 10% ditawarkan

Solv Protocol yang berfokus pada Bitcoin dieksploitasi pada hari Kamis, mengakibatkan sekitar $2,7 juta dana terkuras dari salah satu brankas tokennya. Proyek ini telah menawarkan hadiah 10% kepada para penyerang.

Solv Protocol adalah platform DeFi yang memungkinkan pengguna untuk melakukan staking Bitcoin melalui Staking Abstraction Layer-nya. 

Menurut pembaruan pasca insiden, sekitar 38 Solv Protocol BTC (SolvBTC), yang digunakan proyek untuk aktivitas menghasilkan imbal hasil dan peminjaman di seluruh ekosistemnya, dikuras dari salah satu brankas imbal hasil terstrukturnya yang disebut Bitcoin Reserve Offerings (BRO).

Solv Protocol mengatakan bahwa insiden tersebut berdampak pada kurang dari 10 pengguna dan menambahkan bahwa pihaknya akan mengompensasi kerugian 38,05 SolvBTC, yang berjumlah sekitar $2,7 juta.

Meskipun laporan lengkap pasca-mortem insiden belum dipublikasikan, analis keamanan pihak ketiga percaya bahwa penyerang dapat menyalahgunakan celah pencetakan ganda dalam kontrak BitcoinReserveOffering.

Menurut bot otomatis perusahaan keamanan Decurity, eksploiter berhasil memicu kerentanan sebanyak 22 kali, yang memungkinkan mereka menggandakan 135 BRO menjadi sekitar 567 juta token BRO sebelum mengonversi dana tersebut menjadi SolvBTC.

Sementara itu, seorang peneliti kripto pseudonim yang diidentifikasi sebagai Pyro menggambarkan insiden tersebut sebagai serangan reentrancy, eksploitasi umum di mana panggilan berulang ke kontrak pintar memungkinkan penyerang memanipulasi akuntansi internal sebelum saldo diperbarui dengan benar.

Sementara itu, Solv Protocol telah menawarkan hadiah 10% jika penyerang mengembalikan dana ke alamat yang ditentukan. Lebih lanjut, proyek tersebut mengklaim sedang bekerja dengan mitra keamanannya untuk menambal kerentanan tersebut.

Pada saat publikasi, para penyerang belum mengindikasikan apakah mereka berniat mengembalikan dana yang dicuri.

Ini adalah salah satu dari beberapa serangan yang menargetkan protokol DeFi akhir-akhir ini.

Awal pekan ini, pasar sDOLA LlamaLend milik Curve Finance dieksploitasi melalui kerentanan yang terkait dengan konfigurasi oracle pool, dan penyerang dilaporkan menghasilkan sekitar $240.000 dengan memanipulasi mekanisme penetapan harga menggunakan pinjaman kilat untuk memicu likuidasi.

Pada awal Februari, protokol likuiditas lintas rantai CrossCurve juga kehilangan sekitar $3 juta setelah penyerang mengeksploitasi celah dalam kontrak pintarnya yang memungkinkan pesan lintas rantai palsu melewati validasi gateway dan membuka kunci dana dari kontrak PortalV2.