Protokol Volo přišel o 3,5 milionu dolarů v důsledku zneužití zranitelnosti v blockchainu Sui a zablokoval pokus o napadení mostu WBTC

Hlavní body:

• Volo Protocol přišel 21. dubna 2026 o 3,5 milionu dolarů ze tří trezorů na platformě Sui v důsledku kompromitace soukromého klíče správce.
• Společnosti GoPlus Security a ExVul potvrdily narušení privilegovaného klíče operátora, nikoli chybu v auditovaných smart kontraktech Volo.
• Volo zablokovalo pokus útočníka o převod 19,6 WBTC a hradí všechny ztráty, přičemž trezory jsou zmrazeny do dokončení následného vyšetřování.

Bezpečnostní narušení protokolu Volo v hodnotě 3,5 milionu dolarů: Co se stalo na blockchainu Sui

Útok vyprázdnil tři trezory obsahující zabalené bitcoiny (WBTC), tokenizované zlato XAUm od Matrixdock a USDC. Nezávislé analýzy odhadly ztráty na přibližně 2,1 milionu dolarů v WBTC, 0,9 milionu dolarů v XAUm a 0,5 milionu dolarů v USDC. Zbývající trezory, představující celkovou hodnotu uzamčených prostředků přibližně 28 milionů dolarů, nebyly zasaženy a nevykazovaly žádnou společnou zranitelnost.

Tým Volo narušení rychle odhalil. Tým zmrazil všechny trezory, informoval nadaci Sui a začal spolupracovat s vyšetřovateli onchain a partnery v ekosystému na vysledování a navrácení ukradených prostředků.

V příspěvku na X společnost Volo uvedla, že pokryje celou ztrátu, aniž by náklady přenesla na vkladatele. „Volo je připraveno tuto ztrátu pokrýt. Uděláme vše pro to, abychom ji nepřenesli na naše uživatele,“ napsal tým. Po skončení vyšetřování byla slíbena úplná analýza.

„Nyní se nacházíme v režimu minimalizace škod, ale jakmile to bude hotovo, vypracujeme plán nápravy a brzy zveřejníme kompletní rozpis,“ dodal tým.

Do 30 minut od prvního oznámení společnost Volo oznámila, že ve spolupráci s partnery v ekosystému zmrazila přibližně 500 000 USD z ukradených aktiv. Následující den, 22. dubna, tým potvrdil, že zachytil a zablokoval pokus útočníka o převod 19,6 WBTC v hodnotě přibližně 2,1 milionu dolarů. Tyto prostředky již nejsou pod kontrolou útočníka.

Bezpečnostní firmy Goplus Security, Exvul Security a Bitslab zveřejnily předběžné analýzy on-chain, které jako hlavní příčinu označují kompromitovaný klíč operátora s vysokými oprávněními. Výzkumníci identifikovali adresu útočníka jako 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, která k vyprázdnění trezorů využila funkce včetně withdraw_with_account_cap_v2.

Společnost Goplus přisoudila narušení sociálním inženýrstvím a souvisejícími podvodnými technikami zaměřenými na administrátorský účet trezoru. Nebyla identifikována žádná chyba v jádrovém kódu smart kontraktu. To řadí tento útok do kategorie selhání správy klíčů spíše než do kategorie zranitelností na úrovni protokolu.

Volo již dříve absolvovalo audity u společností Ottersec, Movebit a Hacken a v době zneužití udržovalo aktivní program odměn za nalezení chyb. Všechny trezory zůstávají zmrazené. Volo a jeho partneři aktivně pracují na vrácení zablokovaných WBTC do protokolu. Podrobný plán nápravy bude součástí připravované analýzy incidentu.

Útok na Volo v dubnu 2026 následoval po narušení KelpDAO 18. dubna 2026. Kumulativní ztráty DeFi napříč protokoly v dubnu 2026 podle některých odhadů přesáhly 600 milionů dolarů, což odráží vzorec útoků zaměřených spíše na řízení přístupu a správu klíčů než na kód v řetězci.

Vkladatelé v neovlivněných trezorech nehlásili žádné ztráty. Tým Volo nasměroval uživatele na oficiální účet @volo_sui na X, kde mohou sledovat aktualizace v reálném čase ještě před zveřejněním úplné analýzy incidentu.

Tento incident se přidává k rostoucímu počtu případů, kdy platformy DeFi čelí rizikům spojeným se správou klíčů, přestože prošly formálními audity. Jedná se o vzorec, na který bezpečnostní výzkumníci opakovaně upozorňovali v různých blockchainových ekosystémech v letech 2025 a 2026.