تعرض بروتوكول Solv، الذي يركز على عملة البيتكوين، لاختراق يوم الخميس، مما أدى إلى سرقة ما يقارب 2.7 مليون دولار من أحد خزائن رموزه. وقد عرض المشروع مكافأة بنسبة 10% للمهاجمين.
ملخص
- خسر بروتوكول Solv حوالي 2.7 مليون دولار بعد أن أدى استغلال ثغرة أمنية إلى سحب 38 SolvBTC من أحد خزائن عرض Bitcoin Reserve الخاصة به، مع تأثر أقل من 10 مستخدمين.
- يقدر باحثو الأمن أن المهاجم استغل ثغرة سك العملات المزدوجة في عقد BitcoinReserveOffering.
- وقد عرض المشروع مكافأة بنسبة 10% مقابل إعادة الأموال.
بروتوكول Solv هو منصة تمويل لامركزي (DeFi) تسمح للمستخدمين بتخزين البيتكوين من خلال طبقة تجريد التخزين الخاصة بها.
وفقًالتحديث ما بعد الحادث، تم سحب ما يقرب من 38 بيتكوين من بروتوكول Solv (SolvBTC)، والتي يستخدمها المشروع لتوليد العائدات وأنشطة الإقراض عبر نظامه البيئي، من أحد خزائن العائدات المهيكلة الخاصة به والتي تسمى عروض احتياطي البيتكوين (BRO).
قال بروتوكول Solv إن الحادث أثر على أقل من 10 مستخدمين وأضاف أنه سيعوض عن خسارة 38.05 SolvBTC، والتي تصل إلى حوالي 2.7 مليون دولار.
في حين لم يتم نشر تقرير كامل عن الحادث بعد وقوعه، يعتقد محللو الأمن من جهات خارجية أن المهاجم تمكن من استغلال ثغرة سك العملات المزدوجة في عقد BitcoinReserveOffering.
بحسب برنامج الروبوت الآلي لشركة الأمن Decurity، تمكن المستغل من استغلال الثغرة الأمنية 22 مرة، مما سمح له بتضخيم 135 BRO إلى ما يقرب من 567 مليون رمز BRO قبل تحويل الأموال إلى SolvBTC.
في غضون ذلك، وصف باحث في مجال العملات المشفرة يُعرف باسم بايرو الحادث بأنه هجوم إعادة الدخول، وهو استغلال شائع حيث تسمح المكالمات المتكررة للعقد الذكي للمهاجمين بالتلاعب بالحسابات الداخلية قبل تحديث الأرصدة بشكل صحيح.
في غضون ذلك، عرض بروتوكول Solv مكافأة بنسبة 10% لمن يُعيد الأموال إلى العنوان المُحدد. كما يدّعي المشروع أنه يعمل مع شركائه الأمنيين على سدّ الثغرة الأمنية.
وحتى وقت النشر، لم يُشر المهاجمون بعد إلى ما إذا كانوا يعتزمون إعادة الأموال المسروقة.
هذا أحد الهجمات العديدة التي استهدفت بروتوكولات التمويل اللامركزي مؤخراً.
في وقت سابق من هذا الأسبوع، تم استغلال أسواق sDOLA LlamaLend التابعة لشركة Curve Finance من خلال ثغرة أمنية مرتبطة بتكوين أوراكل المجمع، وبحسب ما ورد حقق المهاجم حوالي 240 ألف دولار من خلال التلاعب بآلية التسعير باستخدام قرض سريع لتحفيز عمليات التصفية.
في أوائل فبراير، خسر بروتوكول السيولة عبر السلاسل CrossCurve أيضًا ما يقرب من 3 ملايين دولار بعد أن استغل المهاجمون ثغرة في عقده الذكي سمحت للرسائل المزيفة عبر السلاسل بتجاوز التحقق من صحة البوابة وفتح الأموال من عقد PortalV2.
