پروتکل Volo در پی سوءاستفاده از بلاکچین Sui مبلغ ۳.۵ میلیون دلار از دست داد و تلاش برای پل‌زدن WBTC را مسدود کرد

نکات کلیدی:

• پروتکل Volo در تاریخ ۲۱ آوریل ۲۰۲۶ پس از به خطر افتادن کلید خصوصی مدیر، ۳.۵ میلیون دلار را از سه خزانه مبتنی بر Sui از دست داد.
• GoPlus Security و ExVul تأیید کردند که نقضِ کلید اپراتورِ دارای دسترسی ویژه رخ داده، نه ایرادی در قراردادهای هوشمند حسابرسی‌شده Volo.
• Volo تلاش مهاجم برای بریج‌کردن ۱۹.۶ WBTC را مسدود کرد و تمام زیان‌ها را خود تقبل می‌کند؛ خزانه‌ها تا زمان انتشار گزارش کالبدشکافی (post-mortem) مسدود مانده‌اند.

نقض امنیتی ۳.۵ میلیون دلاری پروتکل Volo: در بلاکچین Sui چه اتفاقی افتاد

این حمله سه خزانه حاوی بیت‌کوین رپ‌شده (WBTC)، دارایی طلای توکنیزه‌شده XAUm از Matrixdock و USDC را تخلیه کرد. تفکیک‌های مستقل، زیان‌ها را حدود ۲.۱ میلیون دلار WBTC، ۰.۹ میلیون دلار XAUm و ۰.۵ میلیون دلار USDC برآورد کردند. سایر خزانه‌ها که مجموعاً حدود ۲۸ میلیون دلار ارزش قفل‌شده (TVL) را نمایندگی می‌کردند، تحت تأثیر قرار نگرفتند و هیچ آسیب‌پذیری مشترکی نشان ندادند.

تیم Volo این رخنه را به‌سرعت شناسایی کرد. تیم همه خزانه‌ها را فریز کرد، بنیاد Sui را مطلع ساخت و همکاری با پژوهشگران آن‌چین و شرکای اکوسیستم را برای ردیابی و بازیابی وجوه سرقت‌شده آغاز کرد.

Volo در پستی در X اعلام کرد که کل زیان را بدون انتقال هزینه به سپرده‌گذاران جبران خواهد کرد. تیم نوشت: «Volo آماده است این زیان را تقبل کند. تمام تلاش‌مان را می‌کنیم که آن را به کاربران‌مان منتقل نکنیم.» همچنین وعده داده شد پس از پایان تحقیقات، گزارش کامل post-mortem منتشر شود.

تیم افزود: «اکنون در حالت کنترل خسارت هستیم، اما پس از آن یک برنامه جبران (remediation) تدوین خواهیم کرد و به‌زودی جزئیات کامل منتشر می‌شود.»

کمتر از ۳۰ دقیقه پس از اطلاعیه اولیه، Volo گزارش داد که با همکاری شرکای اکوسیستم، حدود ۵۰۰ هزار دلار از دارایی‌های سرقت‌شده را فریز کرده است. روز بعد، در ۲۲ آوریل، تیم تأیید کرد که تلاش مهاجم برای بریج‌کردن ۱۹.۶ WBTC به ارزش تقریبی ۲.۱ میلیون دلار را رهگیری و مسدود کرده است. این وجوه دیگر تحت کنترل مهاجم نیست.

شرکت‌های امنیتی Goplus Security، Exvul Security و Bitslab هر کدام تحلیل‌های مقدماتی آن‌چین منتشر کردند که نشان می‌داد علت ریشه‌ای، به خطر افتادن یک کلید اپراتور با سطح دسترسی بسیار بالا بوده است. پژوهشگران آدرس مهاجم را 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75 شناسایی کردند که با استفاده از توابعی از جمله withdraw_with_account_cap_v2 خزانه‌ها را تخلیه کرده است.

Goplus این رخنه را به مهندسی اجتماعی و روش‌های کلاهبرداری مرتبط که حساب مدیر خزانه را هدف قرار داده بودند نسبت داد. هیچ ایرادی در کد اصلی قرارداد هوشمند شناسایی نشد. این موضوع، رخنه را در دسته ناکامی‌های مدیریت کلید قرار می‌دهد، نه آسیب‌پذیری‌های سطح پروتکل.

Volo پیش‌تر ممیزی‌هایی را با Ottersec، Movebit و Hacken به پایان رسانده بود و در زمان سوءاستفاده نیز یک برنامه فعال باگ بانتی داشت. همه خزانه‌ها همچنان فریز هستند. Volo و شرکایش به‌طور فعال برای بازگرداندن WBTC مسدودشده به پروتکل کار می‌کنند. یک برنامه جبران تفصیلی همراه با گزارش post-mortem آینده ارائه خواهد شد.

حمله آوریل ۲۰۲۶ به Volo پس از رخنه KelpDAO در ۱۸ آوریل ۲۰۲۶ رخ داد. طبق برخی برآوردها، زیان‌های تجمعی DeFi در میان پروتکل‌ها طی آوریل ۲۰۲۶ از ۶۰۰ میلیون دلار عبور کرده است؛ موضوعی که الگوی سوءاستفاده‌هایی را بازتاب می‌دهد که بیش از کد آن‌چین، کنترل‌های دسترسی و مدیریت کلید را هدف می‌گیرند.

سپرده‌گذاران در خزانه‌های آسیب‌ندیده، گزارشی از زیان ارائه نکرده‌اند. تیم Volo کاربران را برای دریافت به‌روزرسانی‌های لحظه‌ای تا پیش از انتشار کامل post-mortem به حساب رسمی @volo_sui در X ارجاع داده است.

این رویداد به فهرست رو به رشد پلتفرم‌های DeFi که با وجود گذر از ممیزی‌های رسمی، با ریسک‌های مدیریت کلید مواجه می‌شوند اضافه می‌شود؛ الگویی که پژوهشگران امنیتی در سال‌های ۲۰۲۵ و ۲۰۲۶ بارها در اکوسیستم‌های مختلف بلاکچینی نسبت به آن هشدار داده‌اند.