Eksploit i Solv Protocol-hvelv tømte SolvBTC for 2,7 millioner dollar

Solv Protocol etterforsker en utnyttelse som tappet om lag 2,7 millioner dollar fra ett av sine strukturert avkastningshvelv, og legger seg til en voksende liste over sikkerhetshendelser i sektoren for desentralisert finans (DeFi) i år.

I en torsdagens oppdatering på X bekreftet prosjektet at omkring 38,0474 SolvBTC ble fjernet fra ett av dets Bitcoin Reserve Offering-hvelv. 

Plattformen opplyste at den vil dekke tapene fullt ut, og at færre enn 10 brukere ble berørt av bruddet.

Solv Protocol driver en on-chain Bitcoin-reserve designet for å gjøre BTC til en produktiv eiendel. 

Brukere kan sette inn Bitcoin i bytte mot SolvBTC, en wrapped‑token som gjør det mulig å bruke de underliggende beholdningene i utlåns-, låne- og staking-strategier på andre blokkjeder. 

Protokollen tilbyr også strukturert avkastningsprodukter kjent som Bitcoin Reserve Offerings, eller BRO, som pakker BTC-eksponering i hvelv-baserte investeringsstrategier.

Ifølge prosjektets nettsted holder Solv omkring 24 226 BTC, verdsatt til mer enn 1,7 milliarder dollar, og beskriver seg som den største on-chain Bitcoin-reserven. 

Data fra DefiLlama viser at mer enn 508 millioner dollar for øyeblikket er låst i produkter relatert til SolvBTC.

Mens protokollen ennå ikke har publisert en full teknisk gjennomgang av bruddet, har sikkerhetsforskere pekt på en sårbarhet i en av Solvs smarte kontrakter som gjorde det mulig for angriperen å prege et uforholdsmessig stort antall tokens.

En automatisert overvåkingsbot drevet av sikkerhetsselskapet Decurity indikerte at utnyttelsen utløste en dobbelt preging-feil i en BitcoinReserveOffering-kontrakt 22 ganger. 

Gjennom de gjentatte transaksjonene inflaterte angriperen 135 BRO til om lag 567 millioner BRO-tokens og byttet deretter posisjonen mot rundt 38 SolvBTC.

Den pseudonyme forskeren Pyro karakteriserte hendelsen som et reentrancy-angrep, en teknikk der gjentatte kontraktskall utnytter svakheter i hvordan saldoer oppdateres i smarte kontrakter. 

Varianter av dette angrepet har vært ansvarlige for flere høyprofilerte DeFi-brudd de siste årene.

Solv opplyste at det nå samarbeider med flere blokkjede-sikkerhetsselskaper, inkludert Hypernative Labs, SlowMist og CertiK, for å etterforske hendelsen og styrke de berørte kontraktene. 

«Alle andre hvelv og brukermidler forblir sikre og påvirkes ikke. Vi etterforsker aktivt sammen med ledende sikkerhetspartnere og har tatt skritt for å forhindre gjentakelser,» la de til.

I et forsøk på å få tilbake de stjålne midlene har Solv tilbudt angriperen en 10 % white-hat-bonus hvis midlene returneres. 

Protokollen publiserte også en Ethereum-lommebokadresse i kunngjøringen for å legge til rette for kommunikasjon med angriperen, selv om ingen respons var registrert ved publiseringstidspunktet.

DeFi forblir sårbart

Sikkerheten i DeFi forblir en bekymring etter et utfordrende 2025, hvor mer enn 3,4 milliarder dollar ble stjålet i sektoren.

Og selv om de første månedene av 2026 ikke har sett samme omfang av megaangrep, har en serie mindre, men målrettede brudd holdt sikkerhetsbekymringene høyt på agendaen.

I januar og februar registrerte krypto- og DeFi-sektorene om lag 112,5 millioner dollar i tap fordelt på 31 hendelser.

Januar sto for mesteparten av skaden, med 86 millioner dollar stjålet fra flere prosjekter.

Tidligere denne uken ble Curve Finance sitt sDOLA LlamaLend-marked utnyttet gjennom en sårbarhet knyttet til pris-orakelkonfigurasjonen, noe som gjorde det mulig for angriperen å tjene om lag 240 000 dollar gjennom likvidasjoner drevet av flash-lån.

Tidlig i februar mistet cross-chain likviditetsprotokollen CrossCurve om lag 3 millioner dollar etter at angripere utnyttet en feil som tillot forfalskede cross-chain-meldinger å omgå gateway-validering og låse opp midler fra dens PortalV2-kontrakt.

Selv om den samlede verdien av tap har avtatt sammenlignet med storskala-bruddene tidlig i 2025, sier sikkerhetsanalytikere at et lite antall svært innvirkningsrike hendelser fortsatt former risikobilde for desentraliserte finansplattformer.