সুই ব্লকচেইনের এক্সপ্লয়েটে ভোলো প্রোটোকলের ৩.৫ মিলিয়ন ডলার ক্ষতি, WBTC ব্রিজিং প্রচেষ্টা ব্লক করেছে

মূল বিষয়গুলো:

• কমপ্রোমাইজড অ্যাডমিন প্রাইভেট কী-এর পর, ২১ এপ্রিল ২০২৬-এ Sui-ভিত্তিক তিনটি ভল্ট থেকে Volo Protocol $3.5 মিলিয়ন হারিয়েছে।
• GoPlus Security এবং ExVul নিশ্চিত করেছে—এটি Volo-র অডিটেড স্মার্ট কন্ট্রাক্টে ত্রুটি নয়, বরং একটি প্রিভিলেজড অপারেটর কী ব্রিচ।
• Volo আক্রমণকারীর 19.6 WBTC ব্রিজ করার চেষ্টা ব্লক করেছে এবং সব ক্ষতি নিজেই বহন করছে; পোস্ট-মর্টেম পর্যন্ত ভল্টগুলো ফ্রোজেন থাকবে।

Volo Protocol $3.5M নিরাপত্তা লঙ্ঘন: Sui ব্লকচেইনে কী ঘটেছিল

আক্রমণটি wrapped bitcoin (WBTC), Matrixdock-এর টোকেনাইজড গোল্ড অ্যাসেট XAUm, এবং USDC রাখা তিনটি ভল্ট খালি করে দেয়। স্বাধীন বিশ্লেষণে ক্ষতির পরিমাণ ধরা হয়েছে আনুমানিক $2.1 মিলিয়ন WBTC, $0.9 মিলিয়ন XAUm, এবং $0.5 মিলিয়ন USDC। বাকি ভল্টগুলো—যেগুলো মিলিয়ে মোট ভ্যালু লকড প্রায় $28 মিলিয়ন—প্রভাবিত হয়নি এবং কোনো শেয়ার্ড ভলনারেবিলিটিও দেখায়নি।

Volo-র দল দ্রুত লঙ্ঘনটি শনাক্ত করে। দলটি সব ভল্ট ফ্রিজ করে, Sui Foundation-কে জানায়, এবং চুরি হওয়া ফান্ড ট্রেস ও রিকভার করতে অনচেইন ইনভেস্টিগেটর ও ইকোসিস্টেম পার্টনারদের সঙ্গে কাজ শুরু করে।

X-এ এক পোস্টে Volo জানায়, আমানতকারীদের ওপর খরচ চাপিয়ে না দিয়ে তারা সম্পূর্ণ ক্ষতি নিজেরা বহন করবে। “Volo এই ক্ষতি বহন করতে প্রস্তুত। আমরা আমাদের ব্যবহারকারীদের ওপর এটি চাপিয়ে না দিতে সর্বোচ্চ চেষ্টা করব,” দলটি লিখেছে। তদন্ত শেষ হলে একটি পূর্ণ পোস্ট-মর্টেম দেওয়ার প্রতিশ্রুতি দেওয়া হয়েছে।

“আমরা এখন ড্যামেজ কন্ট্রোল মোডে আছি, তবে সেটা শেষ হলে আমরা একটি রেমেডিয়েশন প্ল্যান তৈরি করব, এবং শিগগিরই পূর্ণ ব্রেকডাউন শেয়ার করা হবে,” দলটি যোগ করেছে।

প্রাথমিক ঘোষণার ৩০ মিনিটের মধ্যে, Volo রিপোর্ট করেছে যে ইকোসিস্টেম পার্টনারদের সহযোগিতায় তারা চুরি হওয়া সম্পদের প্রায় $500,000 ফ্রিজ করতে পেরেছে। পরদিন, ২২ এপ্রিল, দলটি নিশ্চিত করেছে যে তারা আক্রমণকারীর 19.6 WBTC—যার মূল্য আনুমানিক $2.1 মিলিয়ন—ব্রিজ করে বের করে নেওয়ার চেষ্টা ইন্টারসেপ্ট ও ব্লক করেছে। ওই ফান্ডগুলো এখন আর আক্রমণকারীর নিয়ন্ত্রণে নেই।

নিরাপত্তা প্রতিষ্ঠান Goplus Security, Exvul Security, এবং Bitslab প্রত্যেকেই প্রাথমিক অন-চেইন বিশ্লেষণ প্রকাশ করেছে, যেখানে রুট কারণ হিসেবে কমপ্রোমাইজড উচ্চ-প্রিভিলেজ অপারেটর কী-এর কথা বলা হয়েছে। গবেষকরা আক্রমণকারীর ঠিকানা হিসেবে 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75 শনাক্ত করেছেন, যা withdraw_with_account_cap_v2 সহ বিভিন্ন ফাংশন ব্যবহার করে ভল্টগুলো ড্রেইন করেছে।

Goplus বলেছে, ভল্টের অ্যাডমিন অ্যাকাউন্টকে লক্ষ্য করে সোশ্যাল ইঞ্জিনিয়ারিং এবং সংশ্লিষ্ট প্রতারণামূলক কৌশলের কারণে কমপ্রোমাইজটি ঘটেছে। কোর স্মার্ট কন্ট্রাক্ট কোডে কোনো ত্রুটি শনাক্ত করা হয়নি। ফলে এটি প্রোটোকল-লেভেল ভলনারেবিলিটির চেয়ে কী ম্যানেজমেন্ট ব্যর্থতার ক্যাটাগরিতে পড়ে।

Volo পূর্বে Ottersec, Movebit, এবং Hacken-এর সঙ্গে অডিট সম্পন্ন করেছিল, এবং এক্সপ্লয়েটের সময় একটি সক্রিয় বাগ বাউন্টি প্রোগ্রামও বজায় রেখেছিল। সব ভল্ট এখনো ফ্রোজেন রয়েছে। Volo এবং তাদের পার্টনাররা ব্লক করা WBTC প্রোটোকলে ফেরত আনতে সক্রিয়ভাবে কাজ করছে। আসন্ন পোস্ট-মর্টেমের সঙ্গে একটি বিস্তারিত রেমেডিয়েশন প্ল্যান সংযুক্ত থাকবে।

এপ্রিল ২০২৬-এ Volo-তে আক্রমণটি ১৮ এপ্রিল ২০২৬-এ হওয়া KelpDAO লঙ্ঘনের পর ঘটে। কিছু অনুমান অনুযায়ী, এপ্রিল ২০২৬-এ বিভিন্ন প্রোটোকলজুড়ে সমষ্টিগত DeFi ক্ষতি $600 মিলিয়ন ছাড়িয়ে গেছে, যা অনচেইন কোডের চেয়ে অ্যাক্সেস কন্ট্রোল এবং কী ম্যানেজমেন্টকে লক্ষ্য করে এক্সপ্লয়েটের একটি ধারাবাহিক প্যাটার্ন প্রতিফলিত করে।

প্রভাবিত না হওয়া ভল্টগুলোর ডিপোজিটররা কোনো ক্ষতির কথা রিপোর্ট করেননি। পূর্ণ পোস্ট-মর্টেম প্রকাশের আগে রিয়েল-টাইম আপডেটের জন্য Volo-র দল ব্যবহারকারীদের X-এ অফিসিয়াল @volo_sui অ্যাকাউন্ট অনুসরণ করতে নির্দেশ দিয়েছে।

এই ঘটনাটি দেখায় যে, আনুষ্ঠানিক অডিট পাস করলেও DeFi প্ল্যাটফর্মগুলো কী ম্যানেজমেন্ট রিস্কের মুখে পড়ছে—এমন একটি প্রবণতা, যা নিরাপত্তা গবেষকরা ২০২৫ ও ২০২৬ সালে একাধিক ব্লকচেইন ইকোসিস্টেম জুড়ে বারবার উল্লেখ করেছেন।