Un difetto nello smart contract "BitcoinReserveOffering" di Solv Protocol's (SOLV) ha permesso a un attaccante di gonfiare 135 token BRO fino a circa 567 milioni, per poi scambiare la posizione per 38,05 SolvBTC per un valore di circa 2,7 milioni di dollari, ha confermato il protocollo.
Meno di dieci utenti sono stati affected, e Solv ha dichiarato che coprirà tutte le perdite.
L’attaccante non ha risposto, al momento della pubblicazione, all’offerta di una ricompensa white-hat del 10%.
La violazione ha preso di mira un vault di Bitcoin (BTC) Reserve Offering - un prodotto strutturato di rendimento in cui l’esposizione a BTC è impacchettata in posizioni bloccate e fruttifere.
Solv operates quella che definisce la più grande riserva di Bitcoin on-chain, con 24.226 BTC per un valore di oltre 1,7 miliardi di dollari.
I dati di DefiLlama mostrano oltre 508 milioni di dollari attualmente bloccati in prodotti collegati a SolvBTC.
Cosa è successo
Il bot di monitoraggio automatico della società di sicurezza Decurity ha segnalato l’attacco: l’exploiter ha attivato la vulnerabilità di doppia emissione nel contratto "BitcoinReserveOffering" per 22 volte consecutive in transazioni separate.
Il ricercatore pseudonimo Pyro ha descritto la tecnica come simile a una re-entrancy – una classe di exploit in cui chiamate ripetute al contratto manipolano la logica di aggiornamento dei saldi prima che si assesti, permettendo la creazione di token oltre i limiti previsti.
Il co-fondatore di CD Security, Chris Dior, ha confermato in modo indipendente il meccanismo.
Solv non ha ancora pubblicato un’analisi tecnica completa, ma ha dichiarato di aver implementato misure di mitigazione e incaricato Hypernative Labs, SlowMist e CertiK di condurre un audit approfondito. Il token SOLV è salito di circa il 2% nel giorno della divulgazione, suggerendo un contagio di mercato immediato limitato.
Read also: Iran's New Supreme Leader Has IRGC Ties And A $7.8B Crypto War Chest
Perché è importante
L’incidente si aggiunge a un periodo difficile per la sicurezza DeFi. Il settore ha lost oltre 3,4 miliardi di dollari in exploit nel 2025. Tra gennaio e febbraio 2026, ulteriori 112,5 milioni di dollari sono stati sottratti in 31 incidenti distinti.
L’exploit su Solv – insieme a una manipolazione dell’oracolo di Curve Finance da 240.000 dollari resa nota nella stessa settimana – suggerisce che piccoli attacchi mirati a specifici meccanismi di vault abbiano sostituito i mega-hack dei cicli precedenti.
Il difetto di doppia emissione mette inoltre in luce una tensione strutturale persistente nella DeFi collegata a Bitcoin: incapsulare BTC in ambienti di smart contract introduce superfici d’attacco che il Bitcoin nativo non presenta.
Tra i sostenitori di Solv figurano Binance Labs, Blockchain Capital e OKX Ventures, il che significa che l’attenzione sul suo processo di recupero e di audit va ben oltre i dieci utenti direttamente affected dalla violazione.