Solv Protocol пропонує 10% винагороду після зламу на 2,7 мільйона доларів

Дослідники безпеки повідомляють, що помилка у смарт-контрактах Solv Protocol дозволила зловмиснику створити надмірну кількість токенів, прив’язаних до Біткоїна, та обміняти їх на SolvBTC — актив, прив’язаний до Біткоїна на мережі Solv. Загальні збитки оцінюються у 2,7 мільйона доларів, при цьому зловмисник створив 38,05 токенів Solv Protocol BTC (SolvBTC) перед тим, як переобміняти більшу частину у позицію на SolvBTC. Команда Solv заявила, що постраждали менше десяти користувачів, і вже впровадила заходи безпеки та залучила кілька компаній з безпеки для розслідування експлойту. Інцидент підкреслює постійні виклики безпеки у DeFi-кастомах, що залежать від міжланцюгових активів і логіки створення.

Платформи DeFi на основі Біткоїна продовжують привертати увагу завдяки фінансовому важелю, який вони пропонують через різні ланцюги, але цей випадок показує, як одна вразливість може вплинути на широку екосистему. Зловмисник здійснив 22 окремі події створення токенів, що завершилися обміном, у результаті якого більша частина створених токенів була переведена у понад 38 SolvBTC — токен, прив’язаний до Біткоїна. Анонімні дослідники описали цю вразливість як схожу на повторне входження (re-entrancy), тип атаки, що неодноразово виявляв слабкі місця у смарт-контрактах, коли зовнішні впливи можуть викликати непередбачене створення активів. Хоча точний ланцюг подій ще перебуває на розслідуванні, головний висновок очевидний: контроль за створенням активів у DeFi, прив’язаних до реальних резервів, вимагає надійних багаторівневих захистів.

Solv Protocol відкрито повідомила про свою реакцію. У публічному дописі на X команда пояснила, що впровадила заходи для запобігання повторенню інциденту та співпрацює з компаніями Hypernative Labs, SlowMist і CertiK для всебічного розслідування. Зловмиснику запропонували 10% винагороди за повернення викрадених коштів — стратегія, спрямована на відновлення цінності та збереження діалогу. За даними Etherscan, поки що не надходило жодних офіційних повідомлень від зловмисника на адресу винагороди, що ускладнює швидке відновлення.

Модель Solv Protocol базується на депозитах у Біткоїнах, що підтримують SolvBTC, дозволяючи користувачам позичати, позичати або ставити активи через взаємопов’язані блокчейни. Проект підкреслює, що має значний резерв у Біткоїнах — приблизно 24 226 BTC, що на момент звіту оцінюється у понад 1,7 мільярда доларів. Це підкреслює потенційний системний вплив зламу, навіть якщо безпосередній ризик для користувачів здається обмеженим. Інцидент також висвітлює важливість стійкості провайдерів ліквідності у міжланцюгових екосистемах, де дизайн смарт-контрактів, облік резервів і механізми захисту користувачів мають бути узгоджені для запобігання подібним експлойтам у майбутньому.

Перші оцінки вказують на вразливість у одному з смарт-контрактів Solv, що дозволила надмірне створення токенів, використовуваних у протоколі. Дослідники безпеки описують цю вразливість як схожу на схему повторного входження (re-entrancy), що є постійною загрозою у DeFi і використовує несподівані входи для примусового створення активів понад заплановані межі. Обговорення інциденту торкнулося ширших уроків для DeFi — зокрема, важливості формальної верифікації, ретельного аудиту контрактів і надійних механізмів контролю для функцій створення активів, прив’язаних до реальних резервів. Інцидент із Solv додає до зростаючого списку випадків порушень безпеки у DeFi, що спонукає протоколи впроваджувати більш жорсткі перевірки та механізми ескалації перед створенням або блокуванням цінностей.

Solv оприлюднила публічну адресу гаманця, щоб заохотити зловмисника взяти участь у програмі винагород. Однак, станом на останні перевірки блокчейну, на цю адресу не надійшло жодних повідомлень. Відсутність відповіді нагадує, що навіть за наявності стимулів зловмисники можуть затягувати або уникати контакту, залишаючи постраждалих користувачів і екосистему у стані невизначеності, поки дослідники аналізують масштаб зламу. Ситуація продовжує розвиватися, оскільки компанії з безпеки аналізують трасування викликів, стан контрактів і рух токенів, щоб визначити, чи можливі додаткові експлойти або чи вже сталося перетин межі, що дозволяє відновлювані події.

Громадськість криптосвіту спостерігає за тим, як Solv і його партнери з безпеки реагують на цей інцидент. Міжланцюгова природа продуктів Solv і обсяг його резервів у Біткоїнах робить цю ситуацію більш ніж ізольованим зломом; вона випробовує стійкість систем контролю ризиків, реагування на інциденти та стимулів для відновлення у Bitcoin-зв’язаному шарі DeFi. Хоча збитки вже очевидні, довгострокові наслідки залежать від того, наскільки ефективно Solv зможе закрити вразливість, заспокоїти учасників і довести, що платформи міжланцюгового кредитування і стейкінгу здатні витримати складні багатоступінчасті атаки без втрати довіри до основних механізмів системи.

Ця подія також підкреслює напруженість між відкритими, стимулюваними безпековими практиками і ризиком неправильного узгодження інтересів, коли на кону великі суми. Поки Solv і його партнери проводять аудити та впроваджують додаткові заходи безпеки, спостерігачі чекатимуть чіткої дорожньої карти щодо оновлень контрактів, формальної верифікації та оновленої системи ризиків для створення і управління резервами у токенах, прив’язаних до Біткоїна. У середовищі, де ліквідність є цінним активом, баланс між швидким реагуванням і ретельним, перевіреним відновленням залишається головним викликом для розробників і аудиторів DeFi.