Платформа DeFi, заснована на Bitcoin, Solv Protocol, у четвер оголосила, що її резервний фонд Bitcoin Reserve Offering (BRO) був цілеспрямовано атакований, внаслідок чого було втрачено 38,0474 SolvBTC, що за ринковою ціною на момент атаки становить приблизно 2,7 мільйони доларів, і постраждало менше 10 користувачів.
Механізм атаки: технічна логіка вразливості подвійного емісії токенів
Основна проблема цієї атаки полягає в тому, що смарт-контракт «BitcoinReserveOffering» не зміг ефективно запобігти повторному виконанню функції емісії. Зловмисник через 22 спроби повторного виклику логіки подвійної емісії збільшив початкові 135 BRO до 567 мільйонів (приблизно у 4,2 мільйона разів більше за початкову кількість), а потім обміняв цю штучно роздуту кількість BRO на близько 38 SolvBTC для виходу з позиції. Весь процес атаки базувався на відсутності перевірки повторного виконання на рівні контракту, що є високоризиковою вразливістю у безпеці смарт-контрактів.
Solv Protocol у своєму акаунті на платформі X заявив: «Всі інші сейфи та кошти користувачів залишаються в безпеці і не постраждали. Ми активно співпрацюємо з провідними партнерами з безпеки для розслідування ситуації та вже вжили заходів для запобігання подібних інцидентів у майбутньому.»
Реакція на збитки: зобов’язання щодо компенсації, перевірка безпеки та програма винагороди для білих хакерів
Solv реагує на цю атаку у трьох напрямках:
Повна компенсація: Solv заявила, що візьме на себе всі втрати у розмірі 38,0474 SolvBTC, щоб забезпечити повну компенсацію менше ніж 10 постраждалим користувачам і не допустити збитків через вразливість платформи.
Спільне розслідування безпеки: Solv співпрацює з відомими компаніями з безпеки блокчейну, такими як Hypernative Labs, SlowMist і CertiK, і вже впровадила заходи для запобігання повторного використання цієї вразливості.
Програма винагороди білих хакерів (White Hat Bounty): Solv запропонувала зловмиснику 10% від залишку коштів у вигляді винагороди для білих хакерів у обмін на повернення решти коштів, що є поширеним механізмом переговорів і повернення коштів у випадках безпеки DeFi.
Масштаб і структура Solv Protocol
На момент атаки Solv Protocol позиціонує себе як найбільший у світі ончейн-резерв Bitcoin, офіційний сайт повідомляє, що на балансі зберігається 24 226 BTC. За даними DefiLlama, загальна заблокована в SolvBTC вартість перевищує 508 мільйонів доларів, що значно більше за вкрадені 2,7 мільйона доларів. Solv підкреслює, що це був «обмежений напад», і він не спричинив системних проблем у всій протоколі.
Інвесторами Solv є такі компанії, як Blockchain Capital. Минулого року Beijing Zeda Network Group (NASDAQ: ZNB) оголосила про плани залучити 230 мільйонів доларів через приватне розміщення для створення криптовалютних сейфів, що містять BTC і SolvBTC, що свідчить про зростаючу увагу інституційних інвесторів до активів Solv.
Часті питання
Що таке SolvBTC і як воно працює?
SolvBTC — це флагманський токен, що обгортає Bitcoin у Solv Protocol, дозволяючи роздрібним і інституційним інвесторам отримувати дохід, зберігаючи Bitcoin. Користувачі можуть внести Bitcoin у ончейн-резервний фонд Solv і отримати SolvBTC, який представляє їхню частку у базовому пулі Bitcoin, і використовувати його далі у DeFi-екосистемі.
Як була використана вразливість подвійної емісії токенів у цій атаці?
Зловмисник через 22 виклики функції подвійної емісії у смарт-контракті «BitcoinReserveOffering» обійшов нормальну логіку перевірки кількості, роздувши початкові 135 BRO до понад 567 мільйонів і обмінявши цю штучно створену кількість на близько 38 SolvBTC для виходу. Весь процес базувався на тому, що контракт не запобігав повторному виконанню цієї логіки.
Чи постраждали інші кошти користувачів Solv Protocol?
За офіційною заявою Solv, ця атака торкнулася лише резервного фонду BRO, і менше ніж 10 користувачів постраждали. Всі інші сейфи та кошти користувачів залишаються в безпеці. Solv пообіцяв повністю компенсувати постраждалих і вже співпрацює з Hypernative Labs, SlowMist і CertiK для спільного розслідування безпеки.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
