Lỗ hổng Solv Protocol làm rút kiệt 2,7 triệu USD SolvBTC, treo thưởng 10%

Solv Protocol tập trung vào Bitcoin đã bị tấn công vào thứ Năm, dẫn đến khoảng 2,7 triệu USD bị rút cạn từ một trong các kho token của nó. Dự án đã đề nghị trả 10% tiền thưởng cho kẻ tấn công.

Solv Protocol là một nền tảng DeFi cho phép người dùng staking Bitcoin thông qua Staking Abstraction Layer của nó. 

Theo bản cập nhật sau sự cố, khoảng 38 Solv Protocol BTC (SolvBTC), mà dự án sử dụng cho các hoạt động tạo lợi nhuận và cho vay trên hệ sinh thái của nó, đã bị rút cạn từ một trong các kho lợi nhuận có cấu trúc của nó có tên là Bitcoin Reserve Offerings (BRO).

Solv Protocol cho biết sự cố đã ảnh hưởng đến ít hơn 10 người dùng và bổ sung rằng họ sẽ bồi thường cho khoản thiệt hại 38,05 SolvBTC, tương đương khoảng 2,7 triệu USD.

Mặc dù báo cáo phân tích đầy đủ về sự cố vẫn chưa được công bố, các nhà phân tích bảo mật bên thứ ba tin rằng kẻ tấn công đã có thể lạm dụng lỗ hổng đúc kép trong hợp đồng thông minh BitcoinReserveOffering.

Theo bot tự động của công ty bảo mật Decurity, kẻ tấn công đã có thể kích hoạt lỗ hổng 22 lần, cho phép họ thổi phồng 135 BRO thành khoảng 567 triệu token BRO trước khi chuyển đổi số tiền thành SolvBTC.

Trong khi đó, một nhà nghiên cứu crypto giấu tên được xác định là Pyro đã mô tả sự cố này là một cuộc tấn công reentrancy, một lỗ hổng phổ biến trong đó các lệnh gọi lặp lại đến hợp đồng thông minh cho phép kẻ tấn công thao túng kế toán nội bộ trước khi số dư được cập nhật đúng cách.

Trong thời gian này, Solv Protocol đã đề nghị trả 10% tiền thưởng nếu kẻ tấn công hoàn trả số tiền về địa chỉ được chỉ định. Hơn nữa, dự án tuyên bố đang làm việc với các đối tác bảo mật để vá lỗ hổng.

Tại thời điểm xuất bản, kẻ tấn công vẫn chưa cho biết liệu họ có ý định hoàn trả số tiền bị đánh cắp hay không.

Đây là một trong nhiều cuộc tấn công đã nhắm vào các giao thức DeFi gần đây.

Đầu tuần này, thị trường sDOLA LlamaLend của Curve Finance đã bị tấn công thông qua một lỗ hổng liên quan đến cấu hình oracle của pool, và kẻ tấn công được cho là đã kiếm được khoảng 240,000 USD bằng cách thao túng cơ chế định giá sử dụng flash loan để kích hoạt thanh lý.

Vào đầu tháng 2, giao thức thanh khoản cross-chain CrossCurve cũng mất khoảng 3 triệu USD sau khi kẻ tấn công khai thác lỗ hổng trong hợp đồng thông minh của nó cho phép các thông điệp cross-chain giả mạo bỏ qua xác thực gateway và mở khóa tiền từ hợp đồng PortalV2.