Solv Protocol Menawarkan Hadiah 10% Setelah Peretasan $2.7M

Para peneliti keamanan mengatakan bahwa bug dalam kontrak pintar Solv Protocol memungkinkan penyerang untuk mencetak sejumlah besar token yang didukung Bitcoin dan menukarnya dengan SolvBTC, aset yang dipatok ke Bitcoin di jaringan Solv. Secara total, insiden ini diperkirakan menimbulkan kerugian sebesar $2,7 juta, sementara penyerang mencetak 38,05 token Solv Protocol BTC (SolvBTC) sebelum mengonversi sebagian besar ke posisi di SolvBTC. Solv menyatakan bahwa kurang dari sepuluh pengguna yang terdampak dan mereka telah menerapkan langkah mitigasi serta melibatkan beberapa perusahaan keamanan untuk menyelidiki eksploitasi ini. Insiden ini menyoroti tantangan keamanan yang terus berlangsung di vault DeFi yang bergantung pada aset lintas rantai dan logika pencetakan.

Platform DeFi berbasis Bitcoin terus menarik perhatian karena leverage keuangan yang mereka tawarkan di berbagai rantai, tetapi episode ini menunjukkan bagaimana satu kerentanan dapat mempengaruhi ekosistem yang lebih luas. Manuver penyerang melibatkan 22 acara pencetakan terpisah, yang berujung pada pertukaran yang memindahkan sebagian besar token yang dicetak ke dalam lebih dari 38 SolvBTC, token yang dipatok ke Bitcoin. Peneliti pseudonim menggambarkan kerentanan ini sebagai cacat seperti re-entrancy, sebuah kelas serangan yang berulang kali mengekspos kelemahan dalam kontrak pintar di mana input eksternal dapat memicu pencetakan atau penciptaan aset yang tidak diinginkan. Meskipun rangkaian kejadian yang tepat masih dalam audit, inti dari pemahaman ini jelas: kontrol pencetakan pada aset DeFi yang terkait dengan cadangan dunia nyata membutuhkan perlindungan yang kuat dan berlapis.

Solv Protocol telah terbuka tentang tanggapannya. Dalam postingan publik di X, tim menjelaskan bahwa mereka telah menerapkan langkah-langkah untuk mencegah kejadian serupa terulang dan bekerja sama dengan perusahaan keamanan Hypernative Labs, SlowMist, dan CertiK untuk melakukan tinjauan menyeluruh. Sebuah bounty sebesar 10% ditawarkan kepada penyerang sebagai imbalan pengembalian dana yang dicuri, sebuah strategi yang dirancang untuk memulihkan nilai sekaligus menjaga saluran dialog. Hingga saat ini, menurut data Etherscan, belum ada komunikasi on-chain yang dikonfirmasi dari penyerang ke alamat bounty, yang menyulitkan rencana pemulihan dalam waktu dekat.

Model Solv Protocol bergantung pada deposit Bitcoin yang mendukung Solv Protocol BTC, memungkinkan pengguna untuk meminjam, meminjamkan, atau mempertaruhkan di berbagai blockchain yang terhubung. Proyek ini menegaskan bahwa mereka memiliki cadangan Bitcoin on-chain yang besar—diperkirakan sekitar 24.226 BTC, bernilai lebih dari $1,7 miliar saat laporan ini dibuat. Skala ini menegaskan potensi dampak sistemik dari pelanggaran ini, meskipun eksposur langsung kepada pengguna tampak terbatas. Kejadian ini juga menyoroti ketahanan penyedia likuiditas di ekosistem lintas rantai, di mana desain kontrak pintar, pencatatan cadangan, dan mekanisme perlindungan pengguna harus selaras untuk mencegah eksploitasi serupa di masa depan.

Penilaian awal menunjukkan adanya cacat dalam kontrak pintar Solv yang memungkinkan pencetakan token berlebihan yang digunakan dalam protokol. Para peneliti keamanan menggambarkan ini sebagai kerentanan re-entrancy, ancaman yang terus-menerus di DeFi yang memanfaatkan input tak terduga untuk memaksa penciptaan aset di luar batas yang diinginkan. Diskusi tentang insiden ini menyentuh pelajaran yang lebih luas untuk DeFi—yaitu pentingnya verifikasi formal, audit kontrak yang ketat, dan pengaman yang kuat untuk fungsi pencetakan yang terkait dengan aset dunia nyata. Insiden Solv menambah daftar kejadian keamanan DeFi yang semakin berkembang, yang mendorong protokol untuk memasukkan pemeriksaan yang lebih ketat dan jalur eskalasi berbasis konsensus sebelum mencetak atau mengunci nilai.

Solv telah menyediakan alamat dompet publik dalam pembaruannya untuk mendorong penyerang berpartisipasi dalam program bounty. Namun, hingga pemeriksaan blockchain terbaru, belum ada pesan on-chain yang diterima di alamat tersebut. Tidak adanya balasan mengingatkan bahwa, meskipun ada insentif, lawan dapat menunda atau menghindari keterlibatan, meninggalkan pengguna yang terdampak dan ekosistem dalam keadaan limbo saat penyelidik memetakan cakupan penuh pelanggaran. Situasi ini terus berkembang saat perusahaan keamanan menganalisis jejak panggilan, status kontrak, dan pergerakan token untuk menentukan apakah eksploitasi tambahan mungkin terjadi atau jika insiden ini telah melampaui batas menjadi kejadian yang dapat dipulihkan.

Komunitas kripto yang lebih luas memantau bagaimana Solv dan mitra keamanannya merespons pelanggaran ini. Sifat lintas rantai dari produk Solv, ditambah dengan besar cadangan yang didukung Bitcoin, menjadikan insiden ini lebih dari sekadar peretasan terisolasi; ini menguji ketahanan pengendalian risiko, respons insiden, dan perbaikan berbasis insentif di lapisan Bitcoin dari DeFi. Meskipun kerugian langsung nyata, implikasi jangka panjang bergantung pada seberapa efektif Solv dapat menutup kerentanan, meyakinkan peserta, dan menunjukkan bahwa platform pinjaman dan staking lintas rantai dapat bertahan dari eksploitasi yang canggih dan berlapis tanpa mengurangi kepercayaan terhadap mekanisme dasar sistem wrap dan bridge.

Insiden ini juga menyoroti ketegangan antara praktik keamanan terbuka dan berorientasi insentif serta risiko ketidaksesuaian insentif saat jumlah besar dipertaruhkan. Saat Solv dan mitranya melakukan audit dan menerapkan perlindungan tambahan, pengamat akan mencari peta jalan yang jelas tentang peningkatan kontrak, langkah verifikasi formal, dan kerangka risiko yang direvisi untuk pencetakan dan pengelolaan cadangan token yang didukung Bitcoin. Dalam ekosistem di mana likuiditas adalah aset yang sangat berharga, keseimbangan antara respons cepat dan perbaikan yang menyeluruh dan dapat diverifikasi tetap menjadi tantangan utama bagi pengembang dan auditor DeFi.