Exploatace trezoru Solv Protocol odčerpala $2.7M v SolvBTC

Solv Protocol vyšetřuje exploit, který z jednoho z jeho trezorů se strukturovaným výnosem odčerpal přibližně $2.7M, čímž se zvyšuje počet bezpečnostních incidentů v sektoru decentralizovaných financí v tomto roce.

Ve čtvrteční aktualizaci na X projekt potvrdil, že z jednoho ze svých Bitcoin Reserve Offering trezorů bylo odebráno přibližně 38.0474 SolvBTC. 

Platforma uvedla, že ztráty plně pokryje a dodala, že průnik postihl méně než 10 uživatelů.

Solv Protocol provozuje on‑chain bitcoinovou rezervu navrženou tak, aby proměnila BTC v produktivní aktivum. 

Uživatelé mohou vkládat Bitcoin výměnou za SolvBTC, wrapovaný token, který umožňuje využití základních držeb v rámci strategií půjčování, vypůjčování a stakingu na jiných blockchainech. 

Protokol také nabízí produkty se strukturovaným výnosem známé jako Bitcoin Reserve Offerings (BRO), které balí expozici v BTC do trezorově založených investičních strategií.

Podle webu projektu Solv drží asi 24,226 BTC v hodnotě více než $1.7 billion a popisuje se jako největší on‑chain bitcoinová rezerva. 

Data od DefiLlama ukazují, že v produktech souvisejících se SolvBTC je aktuálně uzamčeno více než $508 million.

Ačkoli protokol nezveřejnil kompletní technické rozebrání průniku, bezpečnostní výzkumníci poukázali na zranitelnost v jednom ze smart kontraktů Solv, která útočníkovi umožnila vytvořit nadměrné množství tokenů.

Automatizovaný monitorovací bot provozovaný bezpečnostní firmou Decurity naznačil, že útočník vyvolal vadu dvojího mintování v kontraktu BitcoinReserveOffering 22krát. 

Opakovanými transakcemi útočník navýšil 135 BRO na přibližně 567 million BRO tokenů a poté pozici vyměnil za zhruba 38 SolvBTC.

Pseudonymní výzkumník Pyro incident charakterizoval jako reentrancy útok, techniku, při níž opakovaná volání kontraktu zneužívají slabiny v aktualizaci zůstatků ve smart kontraktech. 

Varianty tohoto útoku stály za několika vysoce profilovanými průniky v DeFi v uplynulých letech.

Solv uvedl, že nyní spolupracuje s několika firmami zabývajícími se bezpečností blockchainu, včetně Hypernative Labs, SlowMist a CertiK, aby incident vyšetřil a posílil dotčené kontrakty. 

„Všechny ostatní trezory a uživatelská aktiva zůstávají zabezpečené a neovlivněné. Aktivně vyšetřujeme s předními bezpečnostními partnery a podnikli jsme kroky k prevenci opakování,“ dodalo.

Ve snaze získat odcizená aktiva zpět nabídla Solv útočníkovi 10% white hat odměnu, pokud budou prostředky vráceny. 

Protokol rovněž ve svém oznámení uveřejnil Ethereum peněženku usnadňující komunikaci s útočníkem, avšak v době publikace nebyla zaznamenána žádná odpověď.

DeFi zůstává zranitelné

Bezpečnost v DeFi zůstává problémem po náročném roce 2025, během nějž bylo v sektoru ukradeno více než $3.4 billion.

Ačkoliv úvodní měsíce roku 2026 nepřinesly stejný rozsah mega hacků, série menších, ale cílených průniků udržela bezpečnostní obavy v popředí.

V lednu a únoru zaznamenaly kryptoměnový a DeFi sektory ztráty kolem $112.5 million v rámci 31 incidentů.

Nejvíce škod připadlo na leden, kdy bylo napříč projekty odcizeno $86 million.

Na začátku tohoto týdne byl trh sDOLA LlamaLend Curve Finance zneužit kvůli zranitelnosti související s konfigurací jeho cenového oraclu, což útočníkovi umožnilo vydělat přibližně $240,000 prostřednictvím likvidací vyvolaných flash půjčkami.

Na začátku února cross‑chain likviditní protokol CrossCurve přišel přibližně o $3 million, poté co útočníci zneužili chybu umožňující sfalšované cross‑chain zprávy obejít validaci brány a odemknout aktiva z jeho kontraktu PortalV2.

Ačkoliv celková hodnota ztrát klesla ve srovnání s rozsáhlými průniky z počátku roku 2025, bezpečnostní analytici upozorňují, že několik vysoce dopadových incidentů nadále formuje rizikové prostředí pro platformy decentralizovaných financí.