#SolvProtocol被盗
Incidente di furto del Protocollo Solv: analisi tecnica semplificata e prevenzione
Il 6 marzo 2026, la piattaforma DeFi Solv Protocol ha rivelato che il suo tesoro BRO è stato attaccato, con perdite di circa 38 SolvBTC (valore di 2,7 milioni di dollari). Dall'analisi, si tratta di un tipico caso di vulnerabilità logica del contratto intelligente, che ha colpito meno di 10 utenti, mentre i fondi degli altri tesori sono al sicuro.
Origine tecnica: doppia coniazione e rischio di rientrata
Il cuore dell'attacco ha sfruttato la vulnerabilità della “doppia coniazione” (Double Minting) nel contratto. Attraverso la costruzione di transazioni malevole, si sospetta che sia stata sfruttata una vulnerabilità di rientrata (Reentrancy) o un difetto di verifica dello stato, attivando ripetutamente la funzione di coniazione senza aumentare i reali asset sottostanti. L'attaccante ha emesso malevolmente 135 BRO, portando il totale a 567 milioni, per poi convertirli in SolvBTC di alto valore e completare il profitto.
Strategie di difesa: costruire una linea di difesa sicura insieme
Il progetto deve rafforzare audit e interruzioni: devono essere effettuati più cicli di audit incrociati, in particolare su logiche che coinvolgono la coniazione di asset. Introdurre verifiche formali e meccanismi di interruzione, che sospendono automaticamente le funzioni quando viene rilevata una coniazione anomala, per lasciare spazio alle risposte di emergenza.
Stabilire un programma di ricompense proattivo: istituire ricompense elevate per i white hat, incoraggiando i ricercatori di sicurezza a scoprire vulnerabilità in anticipo, intercettando il rischio prima che si verifichi.
Gli utenti dovrebbero interagire con cautela e isolare gli asset: non inseguire ciecamente rendimenti elevati, ma scegliere prioritariamente protocolli mainstream che siano stati auditati da più istituzioni e che abbiano una storia di sicurezza. Per i nuovi tesori, attenersi al principio “testare prima con piccole somme, poi aumentare gradualmente”. Utilizzare regolarmente strumenti per controllare e revocare le autorizzazioni per contratti poco usati, riducendo i rischi potenziali.
Sebbene l'incidente abbia avuto un'estensione limitata, ci avverte: la sicurezza DeFi non dipende solo dalla custodia delle chiavi private, ma dalla solidità logica del codice. Solo con la difesa collaborativa tra sviluppatori e utenti possiamo resistere ai rischi.