Volo Protocol mister 3,5 millioner dollar i et sikkerhedsbrud på Sui-blockchain og blokerer forsøg på at omgå WBTC-broen

Hovedpunkter:

• Volo Protocol mistede 3,5 millioner dollars fra tre Sui-baserede vaults den 21. april 2026 efter en kompromitteret privat nøgle til en administrator.
• GoPlus Security og ExVul bekræftede et brud på en privilegeret operatørnøgle, ikke en fejl i Volos reviderede smartkontrakter.
• Volo blokerede angriberens forsøg på at overføre 19,6 WBTC og dækker alle tab, mens boksene er frosset i afventning af en efterfølgende undersøgelse.

Volo Protocol-sikkerhedsbrud på 3,5 millioner dollar: Hvad skete der på Sui-blockchain?

Angrebet tømte tre vaults, der indeholdt wrapped bitcoin (WBTC), det tokeniserede guldaktiv XAUm fra Matrixdock og USDC. Uafhængige opgørelser anslog tabene til ca. 2,1 mio. $ i WBTC, 0,9 mio. $ i XAUm og 0,5 mio. $ i USDC. De resterende vaults, der repræsenterer en samlet værdi på ca. 28 mio. $, blev ikke berørt og viste ingen fælles sårbarhed.

Volos team opdagede bruddet hurtigt. Teamet frøs alle boksene, underrettede Sui Foundation og begyndte at samarbejde med onchain-efterforskere og økosystempartnere for at spore og genvinde de stjålne midler.

I et indlæg på X erklærede Volo, at det ville dække det fulde tab uden at videregive omkostningerne til indskyderne. "Volo er parat til at dække dette tab. Vi vil gøre vores bedste for ikke at videregive dette til vores brugere," skrev teamet. Der blev lovet en fuldstændig efteranalyse, når undersøgelsen er afsluttet.

"Vi er i skadesbegrænsningsmode nu, men når det er overstået, vil vi udarbejde en afhjælpningsplan, og en fuldstændig oversigt vil blive delt inden for kort tid," tilføjede teamet.

Inden for 30 minutter efter den første meddelelse rapporterede Volo, at de havde frosset ca. 500.000 $ af de stjålne aktiver gennem samarbejde med partnere i økosystemet. Den følgende dag, den 22. april, bekræftede teamet, at det havde opfanget og blokeret angriberens forsøg på at overføre 19,6 WBTC til en værdi af ca. 2,1 millioner dollars. Disse midler er ikke længere under angriberens kontrol.

Sikkerhedsfirmaerne Goplus Security, Exvul Security og Bitslab offentliggjorde hver især foreløbige on-chain-analyser, der pegede på en kompromitteret operatørnøgle med høje privilegier som den primære årsag. Forskere identificerede angriberens adresse som 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, som anvendte funktioner, herunder withdraw_with_account_cap_v2, til at tømme pengeskabene.

Goplus tilskrev kompromitteringen social engineering og relaterede svindelteknikker rettet mod boksens administratorkonto. Der blev ikke identificeret nogen fejl i den centrale smart contract-kode. Dette placerer bruddet i en kategori af fejl i nøgleadministrationen snarere end sårbarheder på protokolniveau.

Volo havde tidligere gennemført revisioner med Ottersec, Movebit og Hacken og havde et aktivt bug bounty-program på tidspunktet for udnyttelsen. Alle vaults forbliver frosne. Volo og dets partnere arbejder aktivt på at returnere den blokerede WBTC til protokollen. En detaljeret afhjælpningsplan vil ledsage den kommende post-mortem.

Angrebet på Volo i april 2026 fulgte efter KelpDAO-bruddet den 18. april 2026. De samlede DeFi-tab på tværs af protokoller i april 2026 har ifølge nogle estimater oversteget 600 millioner dollars, hvilket afspejler et mønster af udnyttelser, der er rettet mod adgangskontrol og nøgleadministration snarere end on-chain-kode.

Indskydere i ikke-berørte boks har ikke rapporteret tab. Volos team har henvist brugerne til den officielle @volo_sui-konto på X for realtidsopdateringer forud for offentliggørelsen af den fulde efteranalyse.

Hændelsen føjer sig til en voksende liste over DeFi-platforme, der står over for nøgleadministrationsrisici på trods af beståede formelle revisioner, et mønster, som sikkerhedsforskere gentagne gange har påpeget på tværs af flere blockchain-økosystemer i 2025 og 2026.