Εκμετάλλευση σε vault του Solv Protocol αποσπά $2.7M σε SolvBTC

Το Solv Protocol ερευνά μια εκμετάλλευση που απέσπασε περίπου $2.7 million από ένα από τα vaults δομημένης απόδοσης του, προσθέτοντας σε μια αυξανόμενη λίστα περιστατικών ασφάλειας στον κλάδο της αποκεντρωμένης χρηματοδότησης φέτος.

Σε μια ενημέρωση την Πέμπτη στο X, το project επιβεβαίωσε ότι περίπου 38.0474 SolvBTC αφαιρέθηκαν από ένα από τα vaults του Bitcoin Reserve Offering. 

Η πλατφόρμα δήλωσε ότι θα καλύψει πλήρως τις ζημίες, σημειώνοντας ότι λιγότεροι από 10 χρήστες επηρεάστηκαν από την παραβίαση.

Το Solv Protocol λειτουργεί ένα on-chain αποθεματικό Bitcoin σχεδιασμένο να μετατρέπει το BTC σε παραγωγικό περιουσιακό στοιχείο. 

Οι χρήστες μπορούν να καταθέσουν Bitcoin με αντάλλαγμα SolvBTC, ένα wrapped asset που επιτρέπει τα υποκείμενα holdings να χρησιμοποιούνται σε λειτουργίες δανεισμού, λήψης δανείων και staking σε άλλες blockchains. 

Το πρωτόκολλο προσφέρει επίσης δομημένα προϊόντα απόδοσης γνωστά ως Bitcoin Reserve Offerings, ή BRO, τα οποία συνθέτουν την έκθεση σε BTC σε στρατηγικές επένδυσης βάσει vault.

Σύμφωνα με την ιστοσελίδα του project, το Solv κατέχει περίπου 24,226 BTC, αξίας άνω των $1.7 billion, και περιγράφει τον εαυτό του ως το μεγαλύτερο on-chain αποθεματικό Bitcoin. 

Δεδομένα από το DefiLlama δείχνουν πάνω από $508 million κλειδωμένα επί του παρόντος σε προϊόντα που σχετίζονται με το SolvBTC.

Αν και το πρωτόκολλο δεν έχει δημοσιεύσει πλήρη τεχνική ανάλυση της παραβίασης, ερευνητές ασφάλειας επισημαίνουν μια ευπάθεια σε ένα από τα έξυπνα συμβόλαια του Solv που επέτρεψε στον επιτιθέμενο να δημιουργήσει υπερβολικά tokens.

Ένα αυτοματοποιημένο bot παρακολούθησης που λειτουργεί η εταιρεία ασφάλειας Decurity υπέδειξε ότι ο εκμεταλλευτής προκάλεσε ένα σφάλμα διπλής κοπής σε ένα BitcoinReserveOffering συμβόλαιο 22 φορές. 

Μέσω των επαναλαμβανόμενων συναλλαγών, ο επιτιθέμενος διόγκωσε 135 BRO σε περίπου 567 million BRO tokens και στη συνέχεια αντάλλαξε τη θέση για περίπου 38 SolvBTC.

Ο ψευδώνυμος ερευνητής Pyro χαρακτήρισε το περιστατικό ως επίθεση επανεισόδου, μια τεχνική κατά την οποία επαναλαμβανόμενες κλήσεις συμβολαίων εκμεταλλεύονται αδυναμίες στον τρόπο που ενημερώνονται τα υπόλοιπα εντός των έξυπνων συμβολαίων. 

Παραλλαγές αυτής της επίθεσης έχουν προκαλέσει πολλαπλές υψηλού προφίλ παραβιάσεις στον χώρο του DeFi τα τελευταία χρόνια.

Το Solv δήλωσε ότι συνεργάζεται τώρα με αρκετές εταιρείες ασφάλειας blockchain, περιλαμβανομένων των Hypernative Labs, SlowMist και CertiK, για να διερευνήσει το περιστατικό και να ενισχύσει τα επηρεασμένα συμβόλαια. 

«Όλα τα άλλα vaults και τα χρήματα των χρηστών παραμένουν ασφαλή και ανεπηρέαστα. Διερευνούμε ενεργά με κορυφαίους συνεργάτες ασφάλειας και έχουμε λάβει μέτρα για να αποτρέψουμε επαναλήψεις», πρόσθεσε.

Σε προσπάθεια ανάκτησης των κλαπέντων περιουσιακών στοιχείων, το Solv προσέφερε στον εκμεταλλευτή μια ανταμοιβή white hat 10% εάν τα κεφάλαια επιστραφούν. 

Το πρωτόκολλο δημοσίευσε επίσης μια διεύθυνση πορτοφολιού Ethereum στην ανακοίνωσή του για να διευκολύνει την επικοινωνία με τον επιτιθέμενο, αν και μέχρι τη στιγμή της δημοσίευσης δεν είχε καταγραφεί καμία απάντηση.

Το DeFi παραμένει ευάλωτο

Η ασφάλεια του DeFi παραμένει θέμα ανησυχίας μετά από ένα δύσκολο 2025, κατά τη διάρκεια του οποίου κλάπηκαν περισσότερα από $3.4 billion σε όλο τον κλάδο.

Και παρόλο που οι πρώτοι μήνες του 2026 δεν έχουν καταγράψει το ίδιο μέγεθος μεγάλων hacks, μια σειρά μικρότερων αλλά στοχευμένων παραβιάσεων έχει διατηρήσει τις ανησυχίες για την ασφάλεια στο προσκήνιο.

Κατά τους μήνες Ιανουάριο και Φεβρουάριο, οι τομείς crypto και DeFi κατέγραψαν περίπου $112.5 million σε ζημιές σε 31 περιστατικά.

Ο Ιανουάριος ευθύνεται για το μεγαλύτερο μέρος της ζημιάς, με $86 million κλαπέντα σε πολλά έργα.

Νωρίτερα αυτή την εβδομάδα, η αγορά sDOLA LlamaLend της Curve Finance εκμεταλλεύτηκε μέσω μιας ευπάθειας στη διαμόρφωση του oracle τιμών της, επιτρέποντας στον επιτιθέμενο να αποκομίσει περίπου $240,000 μέσω ρευστοποιήσεων που ενεργοποιήθηκαν με flash loans.

Στις αρχές Φεβρουαρίου, το cross-chain liquidity πρωτόκολλο CrossCurve έχασε περίπου $3 million αφού οι επιτιθέμενοι εκμεταλλεύτηκαν ένα σφάλμα που επέτρεπε πλαστογραφημένα cross-chain μηνύματα να παρακάμψουν την επικύρωση της πύλης και να ξεκλειδώσουν περιουσιακά στοιχεία από το συμβόλαιο PortalV2.

Παρόλο που η συνολική αξία των ζημιών υποχώρησε σε σύγκριση με τις μεγάλου μεγέθους παραβιάσεις που παρατηρήθηκαν στις αρχές του 2025, οι αναλυτές ασφάλειας λένε ότι ένας μικρός αριθμός περιστατικών υψηλού αντίκτυπου συνεχίζει να διαμορφώνει το περιβάλλον κινδύνου για τις πλατφόρμες αποκεντρωμένης χρηματοδότησης.