Ketika sebuah protokol DeFi berbasis Bitcoin seperti Solv Protocol mengumumkan bahwa salah satu brankas tokennya dieksploitasi dan curi dana senilai 2,7 juta dolar, pasar biasanya bereaksi dengan dua emosi sekaligus: panik dan ingin tahu. Panik, karena ini menambah daftar panjang insiden yang membuat orang ragu pada keamanan smart contract. Ingin tahu, karena respons proyek—menawarkan hadiah 10% kepada hacker agar mengembalikan aset—menunjukkan strategi baru yang kian lazim di industri kripto tahun-tahun terakhir. Di satu sisi, ini mirip negosiasi yang “pragmatis” demi melindungi pengguna; di sisi lain, publik bertanya apakah model ini mendorong moral hazard, bahkan membuka ruang penipuan yang terselubung.
Solv menyebut dampaknya terbatas, kurang dari 10 pengguna, namun kerugian yang diambil penyerang mencapai sekitar 38,05 SolvBTC—aset yang dipatok ke Bitcoin. Proyek juga menyatakan sudah menutup celah dan menggandeng firma keamanan siber seperti Hypernative Labs, SlowMist, dan CertiK untuk memburu akar masalah. Di tengah arus investasi on-chain yang makin kompleks lintas blockchain, kasus ini menjadi pengingat bahwa inovasi finansial sering bergerak lebih cepat daripada disiplin pengamanan kodenya.
Eksploit Solv Protocol: Kronologi “brankas token” dan kerugian 2,7 juta dolar
Klaim utama dari peristiwa ini sederhana namun mengguncang: sebuah brankas token milik Solv Protocol diserang, dan penyerang berhasil membawa kabur nilai setara 2,7 juta dolar. Dalam ekosistem DeFi, brankas (vault) biasanya adalah smart contract yang menyimpan aset pengguna, mengatur strategi hasil (yield), atau memfasilitasi penukaran internal. Begitu logika vault memiliki celah, dampaknya bisa seperti mesin ATM tanpa pin—bukan karena “hack” ala film, melainkan karena aturan di dalam kode memberi jalan.
Yang membuat kasus ini menarik adalah skala dampaknya yang disebut terbatas: kurang dari 10 pengguna. Itu mengindikasikan vault yang diserang adalah produk spesifik—bukan keseluruhan protokol—misalnya vault bertema “hasil terstruktur” atau seri vault tertentu. Solv juga menegaskan aset lain tetap aman. Namun, dalam persepsi publik, angka pengguna yang kecil sering kalah oleh besarnya headline “curi dana jutaan dolar.” Ini wajar, karena dalam investasi kripto, kepercayaan adalah mata uang kedua setelah likuiditas.
Bayangkan seorang pengguna fiktif bernama Raka, seorang profesional muda yang menaruh 0,8 BTC ke produk Solv karena ingin tetap “berbasis Bitcoin” sambil mengejar yield di jaringan lain. Ia tidak memakai seluruh fitur Solv—hanya vault tertentu yang kebetulan terdampak. Ketika insiden terjadi, Raka tidak sekadar menghitung nilai BTC-nya; ia menimbang risiko reputasi, potensi pembekuan, hingga lamanya proses klaim. Di sinilah pernyataan proyek soal penggantian kerugian menjadi penentu apakah kepanikan berubah menjadi kemarahan, atau menjadi “krisis yang terkendali”.
Solv menyatakan akan menutup kerugian 38,05 SolvBTC yang dicuri. Secara komunikasi, ini penting: bukan sekadar “kami sedang menyelidiki”, melainkan “kami akan membayar”. Dalam beberapa insiden DeFi besar sejak 2020-an, respons yang paling menenangkan pasar adalah kepastian kompensasi dan pemetaan dampak yang jelas. Namun, kompensasi bukan obat mujarab; ia harus diikuti bukti teknis bahwa celah sudah ditutup, kalau tidak, pengguna hanya menunggu giliran insiden berikutnya.
Di tahap ini, benang merahnya mengarah ke pertanyaan yang lebih teknis: bagaimana penyerang bisa mengubah celah kecil menjadi ekstraksi nilai sebesar itu, dan mengapa hal seperti ini masih berulang di DeFi modern?
Hadiah 10% dari Solv Protocol: strategi negosiasi, insentif, dan dilema etika
Menawarkan hadiah 10% kepada hacker agar dana dikembalikan adalah langkah yang kini makin sering terlihat. Dalam bahasa industri, ini mendekati praktik “whitehat settlement”: penyerang diperlakukan seperti pemburu bug, dengan syarat mengembalikan aset dan berhenti menyerang. Dalam kasus ini, Solv membagikan alamat dompet Ethereum untuk komunikasi dan pengembalian dana, sambil menegaskan bahwa mereka terbuka pada penyelesaian yang mengembalikan mayoritas dana ke pengguna.
Secara matematis, 10% dari 2,7 juta dolar berarti sekitar 270 ribu dolar—angka yang bagi sebagian penyerang mungkin lebih menarik daripada risiko pelacakan lintas chain dan proses pencucian aset yang melelahkan. Dalam praktiknya, “hadiah damai” seperti ini juga menurunkan kerugian bersih korban, karena dana yang kembali dapat mempercepat kompensasi. Namun, publik tetap bertanya: apakah ini sama dengan membayar tebusan? Dalam ranah keamanan siber, analoginya mirip dengan ransomware di dunia tradisional—bedanya, di DeFi, transaksi on-chain memberikan jejak yang jauh lebih transparan, sekaligus memberi penyerang opsi obfuscation yang lebih kreatif.
Ada sisi lain yang lebih halus: insentif. Jika ekosistem terlalu sering memberi “jalur pulang” yang menguntungkan, sebagian pelaku bisa tergoda melakukan penipuan berkedok eksploit, lalu “bernegosiasi” untuk mengamankan persentase tertentu. Itulah mengapa banyak proyek kini memasang pagar: hadiah hanya diberikan jika dana kembali dalam jangka waktu tertentu, jika detail kerentanan diserahkan, dan jika tidak ada upaya laundering. Ini bukan sekadar etika; ini manajemen risiko agar kebijakan bounty tidak menjadi undangan.
Solv juga menyebut belum ada pesan on-chain yang masuk ke alamat yang mereka sediakan, menurut pelacakan via penjelajah blockchain. Artinya, pada saat pengamatan publik, penyerang belum berkomunikasi. Bagi investor ritel, momen hening ini sering terasa menegangkan: apakah penyerang akan mengembalikan dana, atau justru memecah aset ke banyak alamat?
Untuk membantu pembaca menilai tawaran bounty secara jernih, berikut ringkasan elemen keputusan yang biasanya dipertimbangkan proyek dan komunitas ketika insiden terjadi:
- Kecepatan pengembalian: semakin cepat dana kembali, semakin kecil risiko dampak sekunder pada harga dan kepercayaan.
- Transparansi syarat: bounty yang jelas mengurangi spekulasi “deal rahasia”.
- Koordinasi dengan firma keamanan: mencegah pelaku memakai bounty sebagai tameng untuk melarikan aset.
- Perlindungan pengguna: komitmen kompensasi mengurangi efek domino pada sentimen investasi.
- Pencegahan pengulangan: patch, pembatasan kontrak, dan pemantauan real-time harus diumumkan dengan bahasa yang bisa diverifikasi.
Intinya, bounty 10% bukan sekadar angka; ia adalah sinyal strategi krisis: “kami memilih pemulihan dana dan stabilitas pengguna sebagai prioritas, sambil mengejar akar masalah.” Dari sini, pembahasan tak bisa lepas dari mekanisme serangan yang diduga terjadi di tingkat smart contract.
Untuk konteks lebih luas soal bounty dan respons proyek setelah insiden DeFi, pembaca bisa menelusuri pembahasan edukatif berikut.
Bagaimana celah smart contract bisa dimanfaatkan 22 kali: dari re-entrancy hingga mint berlebih
Meskipun Solv tidak langsung mengunci satu penyebab teknis di pernyataan publik awalnya, peneliti keamanan independen mengaitkan insiden ini dengan kerentanan yang memungkinkan mint token secara tidak semestinya. Salah satu penjelasan yang beredar menyebut penyerang memanfaatkan bug pada smart contract tertentu sehingga bisa mencetak token internal secara berlebihan, lalu menukarnya menjadi SolvBTC—token yang dipatok ke BTC—dan akhirnya menguras nilai nyata.
Skenario ini sejalan dengan pola klasik DeFi: “aset palsu” (hasil mint tidak sah) ditukar ke “aset nyata” (token yang punya backing atau likuiditas kuat). Begitu swap terjadi, kerugian berpindah dari ranah logika kontrak menjadi kerugian finansial yang konkret. Dalam penjelasan peneliti, serangan dilakukan 22 kali. Pengulangan ini penting: artinya, mekanisme pembatas (rate limit), circuit breaker, atau deteksi anomali tidak menghentikan rangkaian transaksi sejak percobaan pertama.
Peneliti lain menggambarkan tekniknya sebagai re-entrancy: sebuah serangan di mana kontrak dipanggil kembali sebelum status internalnya diperbarui, sehingga penyerang “menyelinap” di sela proses akuntansi. Re-entrancy adalah jenis serangan yang sudah terkenal sejak era awal DeFi, dan menjadi pelajaran besar tentang pentingnya pola “checks-effects-interactions”. Yang menyedihkan, di 2026, teknik ini masih relevan karena kompleksitas kontrak makin tinggi—terutama ketika protokol menggabungkan banyak komponen: vault, router, oracle, bridge, dan modul strategi hasil.
Untuk memudahkan pemahaman, bayangkan mesin tiket di stasiun yang seharusnya memotong saldo kartu setelah pintu terbuka. Jika pintu bisa dipaksa membuka berkali-kali sebelum saldo benar-benar terpotong, penyerang bisa masuk 22 kali dengan satu saldo. Dalam smart contract, analoginya terjadi karena urutan eksekusi atau callback eksternal yang tidak diproteksi.
Berikut tabel ringkas yang memetakan unsur teknis yang disebut dalam berbagai analisis publik, serta dampak praktisnya bagi pengguna:
Unsur |
Deskripsi singkat |
Dampak pada pengguna |
Mitigasi yang umum |
|---|---|---|---|
Mint berlebih |
Token internal dicetak melebihi aturan, tanpa otorisasi yang valid |
Nilai “palsu” bisa ditukar menjadi aset bernilai, memicu curi dana |
Validasi ketat, kontrol akses, invariant checks, audit formal |
Re-entrancy |
Pemanggilan ulang kontrak sebelum status diperbarui |
Penarikan/penukaran berulang, seperti terjadi 22 kali |
Reentrancy guard, urutan checks-effects-interactions, batasi callback |
Swap ke SolvBTC |
Token hasil eksploit ditukar menjadi SolvBTC yang likuid |
Kerugian menjadi aset yang mudah dipindahkan lintas blockchain |
Slippage guard, pause switch, monitoring anomali volume |
Deteksi anomali terlambat |
Alarm risiko tidak menghentikan rangkaian transaksi |
Kerugian membesar sebelum tim merespons |
Real-time monitoring, risk engine, batas harian, auto-pause |
Pelajaran teknisnya tegas: inovasi produk yield harus diiringi disiplin engineering. Bukan hanya audit sebelum rilis, melainkan observabilitas setelah rilis—karena serangan modern sering menguji batas sistem secara bertahap sebelum memukul penuh.
Untuk pembaca yang ingin memahami re-entrancy dan praktik pengamanan smart contract secara praktis, materi video berikut dapat menjadi rujukan awal.
Peran Hypernative, SlowMist, dan CertiK: investigasi keamanan siber dan bukti on-chain
Dalam responsnya, Solv menyebut bekerja bersama Hypernative Labs, SlowMist, dan CertiK. Kolaborasi dengan beberapa firma keamanan siber bukan sekadar formalitas; biasanya ada pembagian tugas: pemantauan real-time, forensik transaksi, analisis bytecode, hingga pelaporan yang dapat dipakai sebagai dasar komunikasi publik dan rencana patch. Di DeFi, bukti utama bukan server log, melainkan jejak on-chain: urutan transaksi, event log, perubahan saldo, dan interaksi kontrak.
Hypernative dikenal luas karena pendekatan deteksi ancaman on-chain yang proaktif—mirip sistem peringatan dini. Dalam situasi seperti ini, alat semacam itu bisa membantu menjawab pertanyaan krusial: kapan transaksi pertama yang mencurigakan terjadi, dan apakah ada pola “uji coba” sebelum eskalasi? SlowMist, dengan reputasi panjang di investigasi insiden kripto, biasanya menggabungkan analisis teknis dan pemetaan aktor, termasuk hubungan alamat, kebiasaan bridging, serta penggunaan mixer atau layanan obfuscation. CertiK, yang banyak bergerak di audit dan rating keamanan, dapat membantu menilai apakah kerentanan terkait desain, implementasi, atau integrasi modul pihak ketiga.
Solv juga membagikan alamat dompet Ethereum untuk mendorong komunikasi dari penyerang. Ini menarik karena memperlihatkan standar komunikasi krisis di DeFi: alamat dompet menjadi “kotak pos” publik. Namun, menurut pengamatan via penjelajah blok, tidak ada pesan on-chain yang masuk pada fase awal. Kondisi ini sering memicu spekulasi, tetapi bagi investigator, justru menjadi alasan untuk memperkuat pelacakan: jika penyerang tidak berkomunikasi, fokus bergeser dari negosiasi ke pembatasan jalur exit liquidity.
Di titik ini, proyek biasanya menerapkan kombinasi langkah defensif yang tidak selalu terlihat oleh pengguna biasa. Misalnya, mereka dapat menonaktifkan fungsi tertentu (pause), menambah pembatasan per transaksi, atau mengubah parameter strategi agar tidak memberi celah serupa. Solv menyatakan sudah melakukan langkah pencegahan agar serangan serupa tidak terulang. Kalimat ini terdengar singkat, tetapi implikasinya besar: perubahan di smart contract (jika upgradable), pembekuan modul, atau migrasi dana ke kontrak baru bisa berdampak pada pengalaman pengguna.
Kembali ke contoh Raka: yang ia butuhkan bukan sekadar janji “kami aman”, melainkan bukti operasional—apakah vault yang ia gunakan tetap bisa ditarik, apakah ada jeda (cooldown), dan bagaimana proyek membuktikan bahwa “bukan seluruh protokol” yang rapuh. Di sinilah laporan pasca-insiden (post-mortem) biasanya paling dinanti, karena menguraikan akar masalah, garis waktu, dan tindakan korektif secara terukur.
Ke depan, investigasi semacam ini juga memengaruhi cara proyek membangun reputasi: bukan dari klaim tanpa insiden, melainkan dari kemampuan mengelola insiden secara transparan, cepat, dan bertanggung jawab.
Model SolvBTC dan cadangan Bitcoin on-chain: manfaat investasi lintas blockchain sekaligus risikonya
Untuk memahami mengapa penyerang menarget aset seperti SolvBTC, kita perlu melihat model bisnisnya. Solv memungkinkan pengguna menyetor Bitcoin dan menerima token yang dipatok ke BTC, yaitu SolvBTC. Token ini kemudian dapat digunakan untuk berbagai aktivitas DeFi: dipinjamkan, dijadikan jaminan untuk meminjam aset lain, atau di-stake pada jaringan berbeda. Manfaatnya jelas: pemilik BTC yang biasanya pasif dapat mengakses peluang yield tanpa harus menjual BTC mereka.
Solv mengklaim mengelola sekitar 24.226 BTC dengan nilai lebih dari $1,7 miliar (tergantung harga BTC saat itu) dan menyebutnya sebagai cadangan Bitcoin on-chain terbesar. Angka sebesar ini menjelaskan dua hal. Pertama, minat pasar terhadap “Bitcoin DeFi” memang nyata, terutama ketika investor mencari cara meningkatkan efisiensi modal. Kedua, ukuran cadangan membuat protokol menjadi target menarik. Dalam keamanan, ada pepatah: semakin besar brankas, semakin kreatif pencuri—terutama ketika brankas itu berada di ranah smart contract yang dapat diuji 24/7.
Di 2026, lanskap blockchain makin terfragmentasi: ada jaringan L2, chain khusus aplikasi, dan jembatan lintas chain yang memudahkan perpindahan aset. Ini memperkaya peluang investasi, tetapi juga memperlebar permukaan serangan. Ketika SolvBTC dipakai di chain lain, risikonya tidak hanya berasal dari Solv sendiri, melainkan juga dari protokol tempat SolvBTC ditempatkan, dari oracle yang memasok harga, serta dari mekanisme bridging bila ada. Satu titik lemah saja bisa menjadi pintu masuk rangkaian kerugian.
Agar pembaca bisa menilai secara praktis, berikut gambaran risiko yang sering diabaikan saat mengejar yield berbasis BTC:
- Risiko smart contract: vault atau modul strategi bisa memiliki bug, termasuk pola yang membuka re-entrancy.
- Risiko likuiditas: saat krisis, penukaran SolvBTC ke BTC bisa menjadi mahal atau tertunda, bergantung mekanisme redeem.
- Risiko integrasi: ketika token dipakai di protokol lain, keamanan bergantung pada standar pihak ketiga.
- Risiko tata kelola: kontrak yang dapat di-upgrade memberi fleksibilitas, tetapi juga menambah risiko jika kontrolnya lemah.
- Risiko sosial: penyerang dapat menyebar disinformasi, meniru akun resmi, dan menjalankan penipuan pasca-insiden.
Kasus Solv memperlihatkan paradoks “BTC produktif”: semakin besar adopsi, semakin penting disiplin keamanan. Pengguna seperti Raka pada akhirnya akan menilai bukan hanya APR, melainkan kualitas kontrol risiko dan kedewasaan respons insiden. Insight yang tersisa: dalam kripto, yield terbaik adalah yang masih ada setelah stres test dunia nyata—dan eksploit adalah stres test paling brutal.
