Solv Protocol의 (SOLV) "BitcoinReserveOffering" 스마트 계약에 존재하던 결함으로 인해 공격자는 135개의 BRO 토큰을 약 5억 6,700만 개 수준으로 부풀린 뒤, 이 포지션을 약 270만 달러 상당의 38.05 SolvBTC로 교환할 수 있었고, 프로토콜 측도 이를 확인했다.
영향을 받은 사용자는 10명도 되지 않는 것으로 파악됐으며, Solv는 모든 손실을 전액 보전하겠다고 밝혔다.
기사 발행 시점 기준, 공격자는 10% 규모의 화이트해커 보상 제안에 아직 응답하지 않았다.
이번 침해는 Bitcoin (BTC) 리저브 오퍼링 볼트를 노린 것이었다. 이는 BTC 익스포저를 잠긴 이자 수익 포지션으로 패키징한 구조화 수익 상품이다.
Solv는 24,226 BTC(17억 달러 이상 가치)를 보유한, 온체인 비트코인 리저브 가운데 가장 큰 규모라고 주장하는 볼트를 운영하고 있다.
DefiLlama 데이터에 따르면 SolvBTC 관련 상품에 현재 5억 800만 달러 이상이 예치돼 있다.
무슨 일이 있었나
보안 기업 Decurity의 자동 모니터링 봇이 이번 공격을 포착했다. 공격자는 "BitcoinReserveOffering" 계약의 이중 발행 취약점을 개별 트랜잭션에서 연속 22번 트리거했다.
가명 연구자 Pyro는 이 기법을 재진입(re-entrancy) 유사 공격으로 설명했다. 이는 계약을 반복 호출해 잔액 갱신 로직이 확정되기 전에 조작함으로써, 설계된 한도를 넘어서는 토큰 생성이 가능해지는 유형의 익스플로잇이다.
CD Security 공동 설립자 Chris Dior도 동일한 메커니즘을 독립적으로 확인했다고 밝혔다.
Solv는 아직 전체 기술적 사건 보고서를 공개하지 않았지만, 이미 완화 조치를 취했으며 Hypernative Labs, SlowMist, CertiK와 함께 종합 감사를 진행 중이라고 전했다. 공시 당일 SOLV 토큰 가격은 약 2% 상승해, 즉각적인 시장 전염은 제한적이었음을 시사했다.
더 읽어보기: Iran's New Supreme Leader Has IRGC Ties And A $7.8B Crypto War Chest
왜 중요한가
이번 사건은 디파이 보안을 둘러싼 어려운 국면에 또 하나의 악재를 더했다. 이 부문은 2025년 한 해 동안 각종 익스플로잇으로 34억 달러 이상을 잃었고, 2026년 1~2월에만 31건의 사건에서 추가로 1억 1,250만 달러가 유출됐다.
Solv 익스플로잇과, 같은 주에 공개된 24만 달러 규모의 Curve Finance 오라클 조작 사건은, 과거 사이클의 초대형 해킹 대신 특정 볼트 메커니즘을 노린 소규모·정밀 공격이 주류로 자리 잡고 있음을 시사한다.
이중 발행 결함은 비트코인 연동 디파이의 구조적 긴장도 드러낸다. BTC를 래핑해 스마트 계약 환경으로 옮기는 과정에서, 비트코인 네이티브 환경에는 존재하지 않는 새로운 공격 표면이 생기기 때문이다.
Solv의 투자자에는 Binance Labs, Blockchain Capital, OKX Ventures 등이 포함돼 있어, 이번 사태의 복구 과정과 감사 결과에 대한 시장의 시선은 직접 피해를 본 10명 남짓의 이용자 범위를 훨씬 넘어선다.