Volo Protocol kaotab Sui-plokiahela turvaaugu tõttu 3,5 miljonit dollarit ja blokeerib WBTC-silla rünnaku

Peamised järeldused:

• Volo Protocol kaotas 21. aprillil 2026. aastal kolmest Sui-põhisest hoiukambrist 3,5 miljonit dollarit, mis oli seotud haldaja privaatvõtme rikkumisega.
• GoPlus Security ja ExVul kinnitasid, et tegemist oli privilegeeritud operaatori võtme rikkumisega, mitte Volo auditeeritud nutilepingute veaga.
• Volo blokeeris ründaja 19,6 WBTC silla katse ja katab kõik kahjud, hoiukambrid on külmutatud kuni juhtumi uurimise lõpuni.

Volo Protocol 3,5 miljoni dollari suurune turvalisuse rikkumine: mis juhtus Sui-plokiahelas

Rünnak tühjendas kolm hoiukambrit, milles hoiti mähitud bitcoine (WBTC), Matrixdocki tokeniseeritud kulla vara XAUm ja USDC-d. Sõltumatute analüüside kohaselt olid kahjud ligikaudu 2,1 miljonit dollarit WBTC-s, 0,9 miljonit dollarit XAUm-is ja 0,5 miljonit dollarit USDC-s. Ülejäänud hoiukambrid, mille koguväärtus oli ligikaudu 28 miljonit dollarit, ei olnud mõjutatud ega näidanud ühist haavatavust.

Volo meeskond avastas rikkumise kiiresti. Meeskond külmutas kõik hoiukambrid, teavitas Sui Foundationit ja alustas koostööd onchain-uurijate ja ökosüsteemi partneritega, et jälgida ja taastada varastatud vahendid.

X-is avaldatud postituses teatas Volo, et katab kogu kahju ise, ilma et kulud kanduksid hoiustajatele. „Volo on valmis seda kahju katma. Teeme oma parima, et seda kasutajatele edasi ei kanduks,” kirjutas meeskond. Uurimise lõppedes lubati avaldada täielik järelanalüüs.

„Oleme praegu kahjude piiramise režiimis, kuid kui see on tehtud, töötame välja parandusplaani ja jagame peagi täieliku ülevaate,“ lisas meeskond.

30 minuti jooksul pärast esialgset teadaannet teatas Volo, et on koostöös ökosüsteemi partneritega külmutanud ligikaudu 500 000 dollarit varastatud varadest. Järgmisel päeval, 22. aprillil, kinnitas meeskond, et oli peatunud ja blokeerinud ründaja katse viia välja 19,6 WBTC, mille väärtus on ligikaudu 2,1 miljonit dollarit. Need vahendid ei ole enam ründaja kontrolli all.

Turvafirmad Goplus Security, Exvul Security ja Bitslab avaldasid igaüks esialgseid ahelaanalüüse, mis osutasid põhjusena ohustatud kõrge õigustega operaatori võtmele. Teadlased tuvastasid ründaja aadressina 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, mis kasutas hoiukambrite tühjendamiseks funktsioone, sealhulgas withdraw_with_account_cap_v2.

Goplus pidas rikkumise põhjuseks sotsiaalse inseneritöö ja sellega seotud pettusmeetodeid, mis olid suunatud hoiukambri administraatori kontole. Põhilises nutilepingu koodis ei tuvastatud ühtegi viga. Seetõttu kuulub rikkumine pigem võtmehalduse ebaõnnestumiste kategooriasse kui protokollitasandi haavatavuste kategooriasse.

Volo oli varem läbinud auditeid Ottersec, Movebit ja Hackeniga ning ekspluati ajal oli neil aktiivne veahüvitusprogramm. Kõik hoiukambrid on endiselt külmutatud. Volo ja selle partnerid töötavad aktiivselt selle nimel, et blokeeritud WBTC protokollile tagasi anda. Tuleva järelanalüüsiga kaasneb üksikasjalik parandusplaan.

2026. aasta aprilli rünnak Volo vastu järgnes 18. aprillil 2026 toimunud KelpDAO rikkumisele. 2026. aasta aprillis ületasid DeFi kogukahjud protokollide lõikes mõningate hinnangute kohaselt 600 miljonit dollarit, peegeldades rünnakute mustrit, mis on suunatud pigem juurdepääsukontrollile ja võtmehaldusele kui ahelasisese koodile.

Mõjutamata hoiukambrite hoiustajad ei ole kahjusid teatanud. Volo meeskond on suunanud kasutajad X-i ametlikule @volo_sui kontole, et saada reaalajas uudiseid enne täieliku järelanalüüsi avaldamist.

See intsident lisandub kasvavale nimekirjale DeFi-platvormidest, mis seisavad silmitsi võtmehalduse riskidega hoolimata formaalsete auditite läbimisest – see on muster, millele turvalisuse uurijad on 2025. ja 2026. aastal korduvalt tähelepanu juhtinud mitmes blockchain-ökosüsteemis.