Volo Protocol, eine Plattform für Liquid Staking und BTCFi auf der Sui-Blockchain, bestätigte diese Woche einen Sicherheitsvorfall in Höhe von 3,5 Millionen US-Dollar, der mit der Kompromittierung eines privaten Admin-Schlüssels für einen Tresor zusammenhängt. Die wichtigsten Erkenntnisse:
Volo Protocol verliert 3,5 Millionen Dollar durch eine Sicherheitslücke in der Sui-Blockchain und blockiert einen Versuch, die WBTC-Bridge zu kompromittieren
GESCHRIEBEN VON
TEILEN
- Volo Protocol verlor am 21. April 2026 3,5 Millionen US-Dollar aus drei Sui-basierten Tresoren, nachdem ein privater Admin-Schlüssel kompromittiert worden war.
- GoPlus Security und ExVul bestätigten eine Verletzung des privilegierten Betreiberschlüssels, nicht jedoch einen Fehler in den geprüften Smart Contracts von Volo.
- Volo blockierte den Versuch des Angreifers, 19,6 WBTC über eine Bridge zu transferieren, und übernimmt alle Verluste, wobei die Tresore bis zur Nachuntersuchung eingefroren sind.
3,5 Millionen Dollar Sicherheitsverletzung bei Volo Protocol: Was geschah auf der Sui-Blockchain
Der Angriff entleerte drei Tresore, die Wrapped Bitcoin (WBTC), das tokenisierte Gold-Asset XAUm von Matrixdock und USDC enthielten. Unabhängige Aufschlüsselungen bezifferten die Verluste auf etwa 2,1 Millionen US-Dollar in WBTC, 0,9 Millionen US-Dollar in XAUm und 0,5 Millionen US-Dollar in USDC. Die übrigen Tresore, die einen Gesamtwert von rund 28 Millionen US-Dollar repräsentieren, waren nicht betroffen und wiesen keine gemeinsame Schwachstelle auf.
Das Team von Volo entdeckte den Angriff schnell. Das Team sperrte alle Tresore, benachrichtigte die Sui Foundation und begann, mit On-Chain-Ermittlern und Partnern des Ökosystems zusammenzuarbeiten, um die gestohlenen Gelder aufzuspüren und wiederzubeschaffen.
In einem Beitrag auf X erklärte Volo, dass es den gesamten Verlust tragen werde, ohne die Kosten an die Einleger weiterzugeben. „Volo ist bereit, diesen Verlust zu tragen. Wir werden unser Bestes tun, um dies nicht an unsere Nutzer weiterzugeben“, schrieb das Team. Eine vollständige Nachbetrachtung wurde für den Zeitpunkt versprochen, an dem die Untersuchung abgeschlossen ist.
„Wir befinden uns derzeit im Schadensbegrenzungsmodus, aber sobald dies abgeschlossen ist, werden wir einen Sanierungsplan ausarbeiten und in Kürze eine vollständige Aufschlüsselung veröffentlichen“, fügte das Team hinzu. Innerhalb von 30 Minuten nach der ersten Ankündigung meldete Volo, dass durch die Zusammenarbeit mit Partnern im Ökosystem etwa 500.000 US-Dollar der gestohlenen Vermögenswerte eingefroren worden seien. Am folgenden Tag, dem 22. April, bestätigte das Team, dass es den Versuch des Angreifers, 19,6 WBTC im Wert von etwa 2,1 Millionen US-Dollar zu transferieren, abgefangen und blockiert habe. Diese Gelder befinden sich nicht mehr unter der Kontrolle des Angreifers. Die Sicherheitsfirmen Goplus Security, Exvul Security und Bitslab veröffentlichten jeweils vorläufige On-Chain-Analysen, die auf einen kompromittierten Operator-Schlüssel mit hohen Berechtigungen als Ursache hinwiesen. Forscher identifizierten die Adresse des Angreifers als 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, die Funktionen wie withdraw_with_account_cap_v2 nutzte, um die Tresore zu leeren.
Goplus führte den Angriff auf Social Engineering und damit verbundene Betrugstechniken zurück, die auf das Administratorkonto des Tresors abzielten. Es wurde keine Schwachstelle im Kerncode des Smart Contracts festgestellt. Damit fällt der Vorfall eher in die Kategorie von Fehlern bei der Schlüsselverwaltung als in die von Schwachstellen auf Protokollebene.
Volo hatte zuvor Audits mit Ottersec, Movebit und Hacken durchgeführt und unterhielt zum Zeitpunkt des Exploits ein aktives Bug-Bounty-Programm. Alle Tresore bleiben gesperrt. Volo und seine Partner arbeiten aktiv daran, die gesperrten WBTC an das Protokoll zurückzugeben. Ein detaillierter Plan zur Behebung der Schwachstelle wird der bevorstehenden Nachbetrachtung beigefügt.
Der Angriff auf Volo im April 2026 folgte auf den KelpDAO-Hack am 18. April 2026. Die kumulierten DeFi-Verluste über alle Protokolle hinweg im April 2026 haben einigen Schätzungen zufolge 600 Millionen US-Dollar überschritten, was ein Muster von Exploits widerspiegelt, die eher auf Zugriffskontrollen und Schlüsselverwaltung abzielen als auf On-Chain-Code.
Vorfallbericht: Llamarisk und Aave-Dienstleister schildern den Kelp-rsETH-Hack auf den Ethereum- und Arbitrum-Märkten
Durch eine Sicherheitslücke in der Bridge wurden am 18. April 116.500 rsETH aus dem OFT-Adapter von Kelp abgezogen, wodurch Aave V3 einem potenziellen Forderungsausfall von bis zu 230 Millionen US-Dollar ausgesetzt war. read more.
Jetzt lesen
Vorfallbericht: Llamarisk und Aave-Dienstleister schildern den Kelp-rsETH-Hack auf den Ethereum- und Arbitrum-Märkten
Durch eine Sicherheitslücke in der Bridge wurden am 18. April 116.500 rsETH aus dem OFT-Adapter von Kelp abgezogen, wodurch Aave V3 einem potenziellen Forderungsausfall von bis zu 230 Millionen US-Dollar ausgesetzt war. read more.
Jetzt lesenVorfallbericht: Llamarisk und Aave-Dienstleister schildern den Kelp-rsETH-Hack auf den Ethereum- und Arbitrum-Märkten
Jetzt lesenDurch eine Sicherheitslücke in der Bridge wurden am 18. April 116.500 rsETH aus dem OFT-Adapter von Kelp abgezogen, wodurch Aave V3 einem potenziellen Forderungsausfall von bis zu 230 Millionen US-Dollar ausgesetzt war. read more.
Einleger in nicht betroffenen Tresoren haben keine Verluste gemeldet. Das Team von Volo hat die Nutzer auf den offiziellen @volo_sui-Account auf X verwiesen, um vor der Veröffentlichung der vollständigen Nachbetrachtung Echtzeit-Updates zu erhalten.
Der Vorfall reiht sich ein in eine wachsende Liste von DeFi-Plattformen, die trotz bestandener formaler Audits mit Risiken im Bereich der Schlüsselverwaltung konfrontiert sind – ein Muster, auf das Sicherheitsforscher in den Jahren 2025 und 2026 wiederholt in verschiedenen Blockchain-Ökosystemen hingewiesen haben.
