Volo Protocol, una plataforma de staking líquido y BTCFi en la cadena de bloques Sui, confirmó esta semana una brecha de seguridad por valor de 3,5 millones de dólares, relacionada con el compromiso de una clave privada de administrador de una bóveda. Puntos clave:
El protocolo Volo pierde 3,5 millones de dólares en un ataque a la cadena de bloques Sui y bloquea un intento de ataque al puente WBTC
ESCRITO POR
COMPARTIR
- Volo Protocol perdió 3,5 millones de dólares de tres cajas fuertes basadas en Sui el 21 de abril de 2026, tras el compromiso de una clave privada de administrador.
- GoPlus Security y ExVul confirmaron una violación de la clave de operador privilegiada, no un fallo en los contratos inteligentes auditados de Volo.
- Volo bloqueó el intento de puente de 19,6 WBTC del atacante y está absorbiendo todas las pérdidas, con las cajas fuertes congeladas a la espera de un análisis posterior.
Brecha de seguridad de 3,5 millones de dólares en Volo Protocol: qué ocurrió en la cadena de bloques Sui
El ataque vació tres bóvedas que contenían bitcoin envuelto (WBTC), el activo de oro tokenizado XAUm de Matrixdock y USDC. Según cálculos independientes, las pérdidas ascendieron a aproximadamente 2,1 millones de dólares en WBTC, 0,9 millones de dólares en XAUm y 0,5 millones de dólares en USDC. Las bóvedas restantes, que representan aproximadamente 28 millones de dólares en valor total bloqueado, no se vieron afectadas y no mostraron ninguna vulnerabilidad común.
El equipo de Volo detectó la brecha rápidamente. El equipo congeló todas las bóvedas, notificó a la Fundación Sui y comenzó a trabajar con investigadores on-chain y socios del ecosistema para rastrear y recuperar los fondos robados.
En una publicación en X, Volo declaró que absorbería la totalidad de la pérdida sin repercutir los costes a los depositantes. «Volo está preparado para absorber esta pérdida. Haremos todo lo posible para no repercutirla a nuestros usuarios», escribió el equipo. Se prometió un análisis exhaustivo una vez concluida la investigación.
«Ahora estamos en modo de control de daños, pero una vez que eso haya concluido, elaboraremos un plan de reparación y compartiremos un desglose completo en breve», añadió el equipo. A los 30 minutos del anuncio inicial, Volo informó de que había congelado aproximadamente 500 000 dólares de los activos robados gracias a la colaboración con socios del ecosistema. Al día siguiente, el 22 de abril, el equipo confirmó que había interceptado y bloqueado el intento del atacante de transferir 19,6 WBTC, por un valor aproximado de 2,1 millones de dólares. Esos fondos ya no están bajo el control del atacante. Las empresas de seguridad Goplus Security, Exvul Security y Bitslab publicaron sendos análisis preliminares en cadena que apuntaban a una clave de operador con privilegios elevados comprometida como causa principal. Los investigadores identificaron la dirección del atacante como 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, que utilizó funciones como withdraw_with_account_cap_v2 para vaciar las bóvedas.
Goplus atribuyó la vulnerabilidad a la ingeniería social y a técnicas de fraude relacionadas dirigidas a la cuenta de administrador de la bóveda. No se identificó ningún fallo en el código central del contrato inteligente. Esto sitúa la brecha en la categoría de fallos de gestión de claves, en lugar de vulnerabilidades a nivel de protocolo.
Volo había completado anteriormente auditorías con Ottersec, Movebit y Hacken, y mantenía un programa activo de recompensas por errores en el momento del ataque. Todas las cajas fuertes permanecen congeladas. Volo y sus socios están trabajando activamente para devolver el WBTC bloqueado al protocolo. Un plan de corrección detallado acompañará al próximo análisis posterior al incidente.
El ataque de abril de 2026 contra Volo siguió a la brecha de KelpDAO del 18 de abril de 2026. Las pérdidas acumuladas de DeFi en todos los protocolos en abril de 2026 han superado los 600 millones de dólares según algunas estimaciones, lo que refleja un patrón de exploits dirigidos a los controles de acceso y la gestión de claves, más que al código en cadena.
Informe de incidente: Llamarisk y los proveedores de servicios de Aave detallan el hackeo de Kelp rsETH en los mercados de Ethereum y Arbitrum
El 18 de abril, un ataque a un puente sustrajo 116 500 rsETH del adaptador OFT de Kelp, lo que expuso a Aave V3 a una deuda incobrable potencial de hasta 230 millones de dólares. read more.
Leer ahora
Informe de incidente: Llamarisk y los proveedores de servicios de Aave detallan el hackeo de Kelp rsETH en los mercados de Ethereum y Arbitrum
El 18 de abril, un ataque a un puente sustrajo 116 500 rsETH del adaptador OFT de Kelp, lo que expuso a Aave V3 a una deuda incobrable potencial de hasta 230 millones de dólares. read more.
Leer ahoraInforme de incidente: Llamarisk y los proveedores de servicios de Aave detallan el hackeo de Kelp rsETH en los mercados de Ethereum y Arbitrum
Leer ahoraEl 18 de abril, un ataque a un puente sustrajo 116 500 rsETH del adaptador OFT de Kelp, lo que expuso a Aave V3 a una deuda incobrable potencial de hasta 230 millones de dólares. read more.
Los depositantes de las cajas fuertes no afectadas no han informado de pérdidas. El equipo de Volo ha remitido a los usuarios a la cuenta oficial @volo_sui en X para obtener actualizaciones en tiempo real antes de la publicación del análisis completo.
El incidente se suma a un historial cada vez mayor de plataformas DeFi que se enfrentan a riesgos de gestión de claves a pesar de haber superado auditorías formales, una tendencia que los investigadores de seguridad han señalado repetidamente en múltiples ecosistemas de blockchain en 2025 y 2026.
