بروتوكول «فولو» يتكبد خسارة بقيمة 3.5 مليون دولار جراء استغلال ثغرة أمنية في بلوكشين «سوي»، ويحظر محاولة اختراق جسر «WBTC»

النقاط الرئيسية:

• خسر بروتوكول Volo 3.5 مليون دولار من ثلاث خزائن قائمة على Sui في 21 أبريل 2026، عقب اختراق مفتاح خاص للمسؤول.
• أكدت GoPlus Security و ExVul حدوث اختراق لمفتاح مشغل مميز، وليس عيبًا في العقود الذكية المدققة لـ Volo.
• حظر Volo محاولة المهاجم لربط 19.6 WBTC، ويتحمل جميع الخسائر، مع تجميد الخزائن في انتظار التحقيق اللاحق.

اختراق أمني بقيمة 3.5 مليون دولار لبروتوكول Volo: ماذا حدث على بلوكشين Sui

أدى الهجوم إلى استنزاف ثلاثة خزائن تحتوي على البيتكوين المغلفة (WBTC)، والأصل الذهبي الرمزي XAUm من Matrixdock، و USDC. وقدرت التحليلات المستقلة الخسائر بنحو 2.1 مليون دولار في WBTC، و 0.9 مليون دولار في XAUm، و 0.5 مليون دولار في USDC. لم تتأثر الخزائن المتبقية، التي تمثل ما يقرب من 28 مليون دولار من القيمة الإجمالية المقفلة، ولم تظهر أي ثغرة أمنية مشتركة.

اكتشف فريق Volo الاختراق بسرعة. قام الفريق بتجميد جميع الخزائن، وإخطار مؤسسة Sui، وبدأ العمل مع محققي السلسلة وشركاء النظام البيئي لتتبع واسترداد الأموال المسروقة.

في منشور على X، صرحت Volo أنها ستتحمل الخسارة بالكامل دون تحميل التكاليف على المودعين. كتب الفريق: "Volo مستعدة لتحمل هذه الخسارة. سنبذل قصارى جهدنا لعدم تحميلها على مستخدمينا". تم الوعد بإجراء تحليل كامل للحادث بمجرد انتهاء التحقيق.

وأضاف الفريق: "نحن الآن في وضع السيطرة على الأضرار، ولكن بمجرد الانتهاء من ذلك، سنضع خطة إصلاح، وسيتم مشاركة تفاصيل كاملة قريبًا".

في غضون 30 دقيقة من الإعلان الأولي، أبلغت Volo عن تجميد ما يقرب من 500,000 دولار من الأصول المسروقة من خلال التعاون مع شركاء النظام البيئي. في اليوم التالي، 22 أبريل، أكد الفريق أنه اعترض وحظر محاولة المهاجم سحب 19.6 WBTC، بقيمة تقارب 2.1 مليون دولار. لم تعد هذه الأموال تحت سيطرة المهاجم.

نشرت شركات الأمن Goplus Security وExvul Security وBitslab تحليلات أولية على السلسلة تشير إلى أن السبب الجذري هو اختراق مفتاح مشغل ذي امتيازات عالية. حدد الباحثون عنوان المهاجم على أنه 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75، والذي استخدم وظائف بما في ذلك withdraw_with_account_cap_v2 لتفريغ الخزائن.

عزت Goplus الاختراق إلى الهندسة الاجتماعية وتقنيات الاحتيال ذات الصلة التي استهدفت حساب المسؤول عن الخزينة. لم يتم تحديد أي عيب في كود العقد الذكي الأساسي. وهذا يضع الاختراق في فئة إخفاقات إدارة المفاتيح بدلاً من الثغرات الأمنية على مستوى البروتوكول.

كانت Volo قد أكملت سابقًا عمليات تدقيق مع Ottersec و Movebit و Hacken، وكانت تحتفظ ببرنامج مكافآت الأخطاء نشطًا وقت حدوث الاختراق. لا تزال جميع الخزائن مجمدة. تعمل Volo وشركاؤها بنشاط لإعادة WBTC المحجوبة إلى البروتوكول. وستصاحب خطة إصلاح مفصلة التقرير اللاحق الذي سيصدر قريبًا.

جاء الهجوم على Volo في أبريل 2026 في أعقاب اختراق KelpDAO في 18 أبريل 2026. تجاوزت الخسائر التراكمية في DeFi عبر البروتوكولات في أبريل 2026 600 مليون دولار وفقًا لبعض التقديرات، مما يعكس نمطًا من الاستغلالات التي تستهدف ضوابط الوصول وإدارة المفاتيح بدلاً من كود السلسلة.

لم يبلغ المودعون في الخزائن غير المتأثرة عن أي خسائر. وقد وجه فريق Volo المستخدمين إلى الحساب الرسمي @volo_sui على X للحصول على تحديثات في الوقت الفعلي قبل نشر التقرير الكامل بعد الحادث.

يضاف هذا الحادث إلى سجل متزايد من منصات DeFi التي تواجه مخاطر إدارة المفاتيح على الرغم من اجتيازها عمليات تدقيق رسمية، وهو نمط أشار إليه باحثو الأمن مرارًا وتكرارًا عبر العديد من أنظمة بلوكتشين في عامي 2025 و2026.