Уразливість у смартконтракті Solv Protocol (SOLV) «BitcoinReserveOffering» дала змогу зловмиснику роздмухати 135 токенів BRO приблизно до 567 мільйонів, а потім обміняти позицію на 38,05 SolvBTC вартістю близько $2,7 млн, що підтвердив протокол.
Менш ніж десять користувачів були affected, і Solv заявив, що покриє всі збитки.
На момент публікації зловмисник не відповів на пропозицію 10% винагороди за white-hat.
Прорив був націлений на сховище Bitcoin (BTC) Reserve Offering — структурований дохідний продукт, у якому експозицію до BTC упаковують у заблоковані, відсоткові позиції.
Solv operates те, що називає найбільшим ончейн-резервом біткоїна, з 24 226 BTC на суму понад $1,7 млрд.
За даними DefiLlama, понад $508 млн зараз заблоковано в продуктах, пов’язаних із SolvBTC.
Що сталося
Автоматизований бот моніторингу компанії з безпеки Decurity зафіксував атаку: зловмисник 22 рази поспіль у окремих транзакціях активував вразливість подвійного карбування в контракті «BitcoinReserveOffering».
Псевдонімний дослідник Pyro охарактеризував техніку як подібну до повторного входу (re-entrancy) — клас експлойтів, коли повторні виклики контракту маніпулюють логікою оновлення балансів до її фінального розрахунку, що дає змогу створювати токени понад заплановані ліміти.
Співзасновник CD Security Chris Dior незалежно підтвердив механізм.
Solv поки не опублікував повний технічний постмортем, але заявив, що розгорнув заходи пом’якшення ризиків і залучив Hypernative Labs, SlowMist та CertiK для проведення комплексного аудиту. Токен SOLV зріс приблизно на 2% у день розкриття, що свідчить про обмежену негайну ринкову заразність.
Read also: Iran's New Supreme Leader Has IRGC Ties And A $7.8B Crypto War Chest
Чому це важливо
Інцидент доповнює складний період для безпеки DeFi. Сектор lost понад $3,4 млрд через експлойти у 2025 році. За січень і лютий 2026 року ще $112,5 млн було виведено через 31 окремий інцидент.
Експлойт Solv — разом із маніпуляцією оракулом на $240 000 у Curve Finance, розкритою того ж тижня, — свідчить, що дрібніші, цільові атаки на конкретні механізми вольтів замінили мега-хаки попередніх циклів.
Баг подвійного карбування також оголює стійку структурну напругу в Bitcoin-пов’язаному DeFi: обгортання BTC в середовища смартконтрактів відкриває вектори атак, яких нативний біткоїн не має.
Серед бекерів Solv — Binance Labs, Blockchain Capital та OKX Ventures, тож увага до процесу відновлення та аудиту проєкту значно виходить за межі десятка користувачів, безпосередньо affected інцидентом.