Solv Protocol exploit put $2,7M aan SolvBTC weg, 10% bounty aangeboden

Het op Bitcoin gerichte Solv Protocol werd donderdag misbruikt, wat resulteerde in het weglekken van ongeveer $2,7 miljoen aan fondsen uit een van zijn token vaults. Het project heeft een beloning van 10% aangeboden aan de aanvallers.

Solv Protocol is een DeFi-platform waarmee gebruikers Bitcoin kunnen staken via zijn Staking Abstraction Layer. 

Volgens een update na het incident werd ongeveer 38 Solv Protocol BTC (SolvBTC), die het project gebruikt voor rendementsgerichte en leenactiviteiten binnen zijn ecosysteem, weggelekt uit een van zijn gestructureerde rendements vaults genaamd Bitcoin Reserve Offerings (BRO).

Solv Protocol zei dat het incident minder dan 10 gebruikers trof en voegde eraan toe dat het het verlies van 38,05 SolvBTC zou compenseren, wat neerkomt op ongeveer $2,7 miljoen.

Hoewel een volledige post-mortem van het incident nog moet worden gepubliceerd, geloven externe beveiligingsanalisten dat de aanvaller misbruik kon maken van een dubbele-minting fout in een BitcoinReserveOffering contract.

Volgens de geautomatiseerde bot van beveiligingsbedrijf Decurity kon de exploiter de kwetsbaarheid 22 keer activeren, waardoor ze 135 BRO konden opblazen tot ongeveer 567 miljoen BRO tokens voordat ze de fondsen omzetten in SolvBTC.

Ondertussen beschreef een pseudonieme crypto-onderzoeker, geïdentificeerd als Pyro, het incident als een reentrancy-aanval, een veelvoorkomende exploit waarbij herhaalde aanroepen naar een smart contract aanvallers in staat stellen de interne boekhouding te manipuleren voordat saldi correct worden bijgewerkt.

Ondertussen heeft Solv Protocol een beloning van 10% aangeboden als de aanvallers de fondsen terugbrengen naar het aangewezen adres. Verder beweert het project samen te werken met zijn beveiligingspartners om de kwetsbaarheid te verhelpen.

Op het moment van publicatie hebben de aanvallers nog niet aangegeven of ze van plan zijn de gestolen fondsen terug te geven.

Dit is een van de verschillende aanvallen die recentelijk DeFi-protocollen hebben getroffen.

Eerder deze week werden de sDOLA LlamaLend-markten van Curve Finance misbruikt via een kwetsbaarheid die verband hield met de oracle-configuratie van de pool, en de aanvaller zou naar verluidt ongeveer $240.000 hebben verdiend door het prijsmechanisme te manipuleren met behulp van een flash loan om liquidaties te activeren.

Begin februari verloor het cross-chain liquiditeitsprotocol CrossCurve ook ongeveer $3 miljoen nadat aanvallers misbruik maakten van een fout in zijn smart contract waardoor vervalste cross-chain berichten de gateway-validatie konden omzeilen en fondsen uit het PortalV2-contract konden ontgrendelen.