Explotación en una bóveda de Solv Protocol drena $2.7M en SolvBTC

Solv Protocol está investigando una explotación que drenó aproximadamente $2.7M de una de sus bóvedas de rendimiento estructurado, lo que se suma a una creciente lista de incidentes de seguridad en el sector de finanzas descentralizadas este año.

En una actualización del jueves en X, el proyecto confirmó que alrededor de 38.0474 SolvBTC fueron retirados de una de sus bóvedas Bitcoin Reserve Offering. 

La plataforma indicó que cubrirá totalmente las pérdidas, señalando que menos de 10 usuarios se vieron afectados por la brecha.

Solv Protocol opera una reserva de Bitcoin en cadena diseñada para convertir BTC en un activo productivo. 

Los usuarios pueden depositar Bitcoin a cambio de SolvBTC, un activo envuelto que permite que las participaciones subyacentes se utilicen en estrategias de préstamo, endeudamiento y staking en otras blockchains. 

El protocolo también ofrece productos de rendimiento estructurado conocidos como Bitcoin Reserve Offerings, o BRO, que empaquetan la exposición a BTC en estrategias de inversión basadas en bóvedas.

Según el sitio web del proyecto, Solv mantiene alrededor de 24,226 BTC, valorados en más de $1.7 mil millones, y se describe a sí mismo como la mayor reserva de Bitcoin en cadena. 

Los datos de DefiLlama muestran que actualmente hay más de $508 millones bloqueados en productos relacionados con SolvBTC.

Si bien el protocolo no ha publicado un desglose técnico completo de la brecha, investigadores de seguridad han señalado una vulnerabilidad en uno de los contratos inteligentes de Solv que permitió al atacante acuñar tokens en exceso.

Un bot de monitorización automatizada operado por la firma de seguridad Decurity indicó que el explotador activó un fallo de doble acuñación en un contrato BitcoinReserveOffering 22 veces. 

A través de las transacciones repetidas, el atacante infló 135 BRO hasta aproximadamente 567 millones de tokens BRO y luego intercambió la posición por alrededor de 38 SolvBTC.

El investigador seudónimo Pyro caracterizó el incidente como un ataque de reentrada, una técnica en la que llamadas repetidas a un contrato explotan debilidades en cómo se actualizan los saldos dentro de los contratos inteligentes. 

Variantes de este ataque han sido responsables de múltiples brechas de alto perfil en DeFi durante los últimos años.

Solv dijo que ahora está trabajando con varias firmas de seguridad blockchain, incluidas Hypernative Labs, SlowMist y CertiK, para investigar el incidente y reforzar los contratos afectados. 

“Todas las demás bóvedas y los fondos de los usuarios permanecen seguros e intactos. Estamos investigando activamente con socios de seguridad de primer nivel y hemos tomado medidas para prevenir recurrencias”, añadió.

En un esfuerzo por recuperar los activos robados, Solv ha ofrecido al explotador una recompensa del 10% para white hats si se devuelven los fondos. 

El protocolo también publicó una dirección de wallet de Ethereum en su anuncio para facilitar la comunicación con el atacante, aunque no se había registrado respuesta al momento de la publicación.

DeFi sigue siendo vulnerable

La seguridad en DeFi sigue siendo una preocupación tras un difícil 2025, durante el cual se robaron más de $3.4 mil millones en todo el sector.

Y aunque los primeros meses de 2026 no han visto la misma escala de mega-hacks, una serie de brechas más pequeñas pero focalizadas ha mantenido las preocupaciones de seguridad firmemente a la vista.

A lo largo de enero y febrero, los sectores cripto y DeFi registraron pérdidas de unos $112.5 millones en 31 incidentes.

Enero concentró la mayor parte del daño, con $86 millones robados en varios proyectos.

A principios de esta semana, el mercado sDOLA LlamaLend de Curve Finance fue explotado por una vulnerabilidad vinculada a la configuración de su oráculo de precios, lo que permitió al atacante obtener aproximadamente $240,000 mediante liquidaciones impulsadas por préstamos flash.

A comienzos de febrero, el protocolo de liquidez cross-chain CrossCurve perdió aproximadamente $3 millones después de que los atacantes explotaran un fallo que permitía que mensajes cross-chain falsificados eludieran la validación del gateway y desbloquearan activos desde su contrato PortalV2.

Aunque el valor global de las pérdidas ha disminuido en comparación con las brechas a gran escala vistas a principios de 2025, los analistas de seguridad señalan que un pequeño número de incidentes de alto impacto continúa configurando el entorno de riesgo para las plataformas de finanzas descentralizadas.