Solv Protocol пострадал от кражи на $2,7 млн из-за reentrancy-уязвимости

Протокол децентрализованных финансов Solv Protocol, специализирующийся на токенизации Bitcoin на Ethereum, стал жертвой хакерской атаки, в результате которой было похищено около $2,7 млн. Злоумышленник воспользовался классической, но смертельно опасной уязвимостью — reentrancy (повторным входом) — чтобы обойти логику контракта и несанкционированно сминтить токены.

🔍 Как была совершена атака?

Согласно анализу исследователей Chris Dior (CD Security) и Pyro, хакер:

1. Вызвал функцию в уязвимом контракте, которая перед отправкой средств вызывала внешний коллбэк
2. В этом коллбэке рекурсивно вызвал ту же функцию до завершения первой транзакции
3. Повторил этот цикл 22 раза, накопив огромное количество внутренних токенов протокола
4. Обменял их на 38,05 SolvBTC — токен, привязанный 1:1 к реальному Bitcoin

Это классический сценарий reentrancy, впервые использованный в знаменитом взломе The DAO в 2016 году.

«Reentrancy — это не баг. Это фундаментальное свойство Ethereum, которое требует дисциплины при написании кода», — Виталик Бутерин, сооснователь Ethereum.

🛡️ Реакция команды

Solv Protocol оперативно:

• Заморозил затронутый контракт
• Компенсировал потери всем пострадавшим пользователям (менее 10 человек)
• Предложил хакеру 10% вознаграждения ($270 000) за возврат средств в течение 72 часов

Команда также привлекла ведущие фирмы по безопасности — Hypernative, SlowMist и CertiK — для проведения полного аудита.

📉 Контекст: рост числа reentrancy-атак

Несмотря на то, что эта уязвимость известна почти десятилетие, она продолжает быть одной из самых разрушительных:

• В июне 2025 года протокол Resupply потерял $9,6 млн из-за аналогичной ошибки
• В марте 2025 года хакеры украли $18 млн у Euler Finance через рекурсивный вызов

Причина проста: современные DeFi-протоколы становятся всё сложнее, а проверка всех возможных точек рекурсии — задача нетривиальная.

💡 Урок для разработчиков

Эксперты рекомендуют следующие меры защиты:

• Checks-Effects-Interactions: сначала меняйте состояние контракта, потом вызывайте внешние функции
• ReentrancyGuard: используйте модификаторы из OpenZeppelin для блокировки рекурсии
• Интеграционные тесты: проверяйте поведение контракта в связке с другими протоколами

Как сказал Pyro: «Если вы пишете DeFi-контракт без ReentrancyGuard — вы играете в русскую рулетку».

🔮 Будущее: безопасность vs скорость

Solv Protocol позиционирует себя как надёжный мост между Bitcoin и DeFi. Но инцидент показывает: даже при наличии аудитов и страхования, одна строка кода может подорвать доверие.

По мере роста TVL (Total Value Locked) требования к безопасности должны расти экспоненциально. Потому что в мире, где миллиарды долларов зависят от логики контракта, дисциплина важнее инноваций.

✨ Заключение: прошлое учит будущее

Reentrancy — это зеркало, в котором DeFi видит свои слабости. Каждая новая атака — напоминание о том, что технологии развиваются быстрее, чем культура безопасности.

И пока разработчики будут выбирать скорость запуска вместо тщательной верификации, кладбище провалившихся протоколов будет только пополняться.