Solv Protocol-vaultudnyttelse dræner $2.7M i SolvBTC

Solv Protocol undersøger en udnyttelse, der drænede omkring $2.7 million fra et af dets strukturerede yield-vaults, og som føjer sig til en stigende række sikkerhedsincidenser i den decentraliserede finanssektor i år. 

I en torsdagsopdatering på X bekræftede projektet, at cirka 38.0474 SolvBTC blev fjernet fra et af dets Bitcoin Reserve Offering-vaults. 

Platformen oplyste, at den vil dække tabene fuldt ud, og bemærkede, at færre end 10 brugere var ramt af bruddet.

Solv Protocol driver en on-chain Bitcoin-reserve, designet til at gøre BTC til et produktivt aktiv. 

Brugere kan indsætte Bitcoin i bytte for SolvBTC, et wrapped-aktiv, der gør det muligt at bruge de underliggende beholdninger i udlåns-, låntagings- og staking-strategier på andre blockchains. 

Protokollen tilbyder også strukturerede yield-produkter kendt som Bitcoin Reserve Offerings, eller BRO, som pakker BTC-eksponering ind i vault-baserede investeringsstrategier.

Ifølge projektets hjemmeside opbevarer Solv omkring 24,226 BTC, værdisat til mere end $1.7 billion, og beskriver sig selv som den største on-chain Bitcoin-reserve. 

Data fra DefiLlama viser, at mere end $508 million i øjeblikket er låst i SolvBTC-relaterede produkter.

Mens protokollen ikke har frigivet en fuld teknisk gennemgang af bruddet, har sikkerhedsanalytikere peget på en sårbarhed i en af Solvs smart contracts, som gjorde det muligt for angriberen at præge et overdreven antal tokens.

En automatiseret overvågningsbot drevet af sikkerhedsfirmaet Decurity indikerede, at udnytteren udløste en dobbelt-minting-fejl i en BitcoinReserveOffering-kontrakt 22 gange. 

Gennem de gentagne transaktioner oppustede angriberen 135 BRO til cirka 567 millioner BRO-tokens og byttede derefter positionen til omkring 38 SolvBTC.

Den pseudonyme researcher Pyro karakteriserede hændelsen som et reentrancy-angreb, en teknik hvor gentagne kontraktkald udnytter svagheder i, hvordan saldi opdateres i smart contracts. 

Varianter af angrebet har været ansvarlige for flere højprofilerede DeFi-brud i de seneste år.

Solv oplyste, at det nu arbejder sammen med flere blockchain-sikkerhedsfirmaer, herunder Hypernative Labs, SlowMist og CertiK, for at efterforske hændelsen og styrke de berørte kontrakter. 

“Alle andre vaults og brugermidler forbliver sikre og påvirkes ikke. Vi efterforsker aktivt sammen med førende sikkerhedspartnere og har taget skridt for at forhindre gentagelser,” tilføjede det.

I et forsøg på at få de stjålne aktiver tilbage har Solv tilbudt udnytteren en 10% white hat-bounty, hvis midlerne returneres. 

Protokollen offentliggjorde også en Ethereum-walletadresse i sin meddelelse for at lette kommunikationen med angriberen, selvom der ikke var registreret noget svar på udgivelsestidspunktet.

DeFi forbliver sårbart

DeFi-sikkerhed forbliver en bekymring efter et hårdt 2025, hvor mere end $3.4 billion blev stjålet på tværs af sektoren.

Og selvom de første måneder af 2026 ikke har haft samme omfang af mega-hacks, har en række mindre, men målrettede brud holdt sikkerhedsbekymringerne i fokus.

I løbet af januar og februar registrerede krypto- og DeFi-sektorerne omkring $112.5 million i tab på tværs af 31 hændelser.

Januar stod for størstedelen af skaden, med $86 million stjålet på tværs af flere projekter.

Tidligere på ugen blev Curve Finances sDOLA LlamaLend-marked udnyttet via en sårbarhed knyttet til dets pris-orakelkonfiguration, hvilket tillod angriberen at tjene omkring $240,000 gennem flash-lån-drevne likvidationer.

I begyndelsen af februar mistede cross-chain likviditetsprotokollen CrossCurve omkring $3 million, efter at angribere udnyttede en fejl, som tillod forfalskede cross-chain-meddelelser at omgå gateway-validering og låse op for aktiver fra dens PortalV2-kontrakt.

Selvom det samlede værdi af tab er faldet sammenlignet med de storskala-brud, der blev set i begyndelsen af 2025, siger sikkerhedsanalytikere, at et lille antal høj-impact-hændelser fortsat former risikomiljøet for decentraliserede finansplatforme.