Уязвимость в смарт-контракте «BitcoinReserveOffering» протокола Solv Protocol (SOLV) позволила атакующему увеличить объём 135 токенов BRO примерно до 567 миллионов, а затем обменять эту позицию на 38,05 SolvBTC на сумму около $2,7 млн, подтвердил протокол.
Пострадало менее десяти пользователей (affected), и Solv заявил, что покроет все убытки.
На предложение о 10% баунти за «white-hat» возврат средств на момент публикации атакующий не ответил.
Атака была направлена на хранилище Bitcoin (BTC) Reserve Offering — структурированный доходный продукт, в котором экспозиция к BTC упакована в заблокированные, приносящие проценты позиции.
Solv operates то, что называет крупнейшим ончейн‑резервом биткоина, удерживая 24 226 BTC на сумму более $1,7 млрд.
По данным DefiLlama, в продуктах, связанных с SolvBTC, сейчас заблокировано свыше $508 млн.
Что произошло
Автоматический мониторинговый бот компании по безопасности Decurity зафиксировал атаку: эксплойтер задействовал уязвимость двойной эмиссии в контракте «BitcoinReserveOffering» 22 раза подряд в отдельных транзакциях.
Исследователь под псевдонимом Pyro охарактеризовал технику как похожую на re-entrancy — класс атак, при которых повторные вызовы контракта манипулируют логикой обновления баланса до её окончательной фиксации, что позволяет создавать токены сверх предусмотренных лимитов.
Сооснователь CD Security Chris Dior независимо подтвердил механизм атаки.
Solv пока не опубликовал полный технический пост‑мортем, но сообщил, что внедрил меры по смягчению последствий и привлёк Hypernative Labs, SlowMist и CertiK для проведения комплексного аудита. Токен SOLV подрос примерно на 2% в день раскрытия инцидента, что указывает на ограниченный немедленный рыночный эффект.
Read also: Iran's New Supreme Leader Has IRGC Ties And A $7.8B Crypto War Chest
Почему это важно
Инцидент дополняет непростой период для безопасности DeFi. В 2025 году сектор lost свыше $3,4 млрд из‑за эксплойтов. В январе и феврале 2026 года ещё $112,5 млн было выведено в результате 31 отдельного инцидента.
Эксплойт Solv — вместе с манипуляцией оракулом в Curve Finance на $240 000, раскрытой в ту же неделю, — указывает на то, что место мегахаков прошлых циклов заняли более мелкие, точечные атаки на конкретные механизмы хранилищ.
Баг двойной эмиссии также обнажает устойчивое структурное противоречие в Bitcoin‑связанном DeFi: «обёртывание» BTC в среду смарт‑контрактов создаёт векторы атак, которых у нативного биткоина нет.
Среди инвесторов Solv — Binance Labs, Blockchain Capital и OKX Ventures, поэтому внимание к процессу восстановления и аудита протокола выходит далеко за пределы десяти пользователей, непосредственно affected взломом.