Solv Protocol(SOLV)의 "BitcoinReserveOffering" 스마트 계약의 결함으로 인해 공격자는 135개의 BRO 토큰을 약 5억 6,700만 개까지 부풀린 뒤, 해당 포지션을 약 270만 달러에 해당하는 38.05개의 SolvBTC로 교환할 수 있었고, 이 사실은 프로토콜 측에서도 확인됐다.
피해를 입은 사용자는 10명 미만으로 파악됐으며, Solv는 모든 손실을 자체적으로 보전하겠다고 밝혔다.
공격자는 기사 작성 시점 기준 10% 화이트햇 현상금 제안에 응답하지 않고 있다.
이번 공격은 Bitcoin(BTC) 리저브 오퍼링 볼트를 겨냥했다. 이는 BTC 익스포저를 잠긴 이자 발생 포지션으로 패키징한 구조화 수익 상품이다.
Solv는 2만 4,226 BTC(17억 달러 이상 가치)를 보유한, 온체인 최대 비트코인 리저브를 운영한다고 주장하고 있다.
DefiLlama 데이터에 따르면 현재 SolvBTC 관련 상품에 5억 800만 달러 이상이 예치(lock)되어 있다.
무엇이 일어났나
보안업체 Decurity의 자동 모니터링 봇이 이번 공격을 포착했다. 공격자는 "BitcoinReserveOffering" 계약의 이중 발행 취약점을 이용해 서로 다른 트랜잭션에서 총 22번 연속으로 익스플로잇을 실행했다.
가명 연구자 Pyro는 이 기법을 재진입(re-entrancy) 유사 공격으로 설명했다. 이는 계약을 반복 호출해 잔액 갱신 로직이 확정되기 전에 조작함으로써, 설계상 한도를 넘어서는 토큰 생성이 가능해지는 유형의 익스플로잇이다.
CD Security 공동 설립자 Chris Dior도 이 메커니즘을 독자적으로 확인했다.
Solv는 아직 완전한 기술적 사고 분석을 내놓지는 않았지만, 이미 완화 조치를 배포했으며 Hypernative Labs, SlowMist, CertiK에 포괄적인 감사를 의뢰했다고 밝혔다. 공개 당일 SOLV 토큰은 약 2% 상승해, 단기적인 시장 전염 효과는 제한적이었음을 시사했다.
함께 읽기: Iran's New Supreme Leader Has IRGC Ties And A $7.8B Crypto War Chest
왜 중요한가
이번 사건은 DeFi 보안에 있어 어려운 흐름을 더욱 악화시키고 있다. 이 부문은 2025년에만 익스플로잇으로 34억 달러 이상을 잃었다. 2026년 1~2월 동안에도 31건의 별도 사건에서 추가로 1억 1,250만 달러가 유출됐다.
Solv 익스플로잇과, 같은 주에 공개된 24만 달러 규모의 Curve Finance 오라클 조작 사건은, 이전 사이클에서의 초대형 해킹 대신 특정 볼트 메커니즘을 겨냥한 소규모·정밀 공격이 새 트렌드가 되었음을 시사한다.
이중 발행 취약점은 비트코인 연동 DeFi의 구조적 긴장도 드러낸다. BTC를 스마트 계약 환경으로 래핑하는 과정에서, 네이티브 비트코인에는 존재하지 않던 공격 표면이 새로 생기기 때문이다.
Solv의 투자자에는 Binance Labs, Blockchain Capital, OKX Ventures 등이 포함되어 있어, 복구 과정과 감사 절차에 대한 시장의 감시는 직접적인 피해를 입은 10명 미만의 사용자들을 한참 넘어선다 (관련).