Volo Protocol menetti 3,5 miljoonaa dollaria Sui-lohkoketjun haavoittuvuuden vuoksi ja esti WBTC-sillan hyökkäysyrityksen

Tärkeimmät kohdat:

• Volo Protocol menetti 3,5 miljoonaa dollaria kolmesta Sui-pohjaisesta varastosta 21. huhtikuuta 2026 hallinnoijan yksityisen avaimen vaarantumisen seurauksena.
• GoPlus Security ja ExVul vahvistivat, että kyseessä oli etuoikeutetun operaattorin avaimen tietomurto, ei puute Volon auditoiduissa älykkäissä sopimuksissa.
• Volo esti hyökkääjän 19,6 WBTC:n siirtoyrityksen ja korvaa kaikki tappiot, ja varastot on jäädytetty odottamaan jälkianalyysiä.

Volo Protocolin 3,5 miljoonan dollarin tietoturvaloukkaus: mitä tapahtui Sui-lohkoketjussa

Hyökkäys tyhjensi kolme varastoa, joissa oli wrapped bitcoineja (WBTC), Matrixdockin tokenisoituja kultavaroja XAUm ja USDC:tä. Riippumattomien arvioiden mukaan tappiot olivat noin 2,1 miljoonaa dollaria WBTC:ssä, 0,9 miljoonaa dollaria XAUm:ssa ja 0,5 miljoonaa dollaria USDC:ssä. Loput varastot, joiden lukittu kokonaisarvo oli noin 28 miljoonaa dollaria, eivät kärsineet vahinkoa eivätkä osoittaneet yhteistä haavoittuvuutta.

Volon tiimi havaitsi tietomurron nopeasti. Tiimi jäädytti kaikki varastot, ilmoitti asiasta Sui-säätiölle ja aloitti yhteistyön ketjututkijoiden ja ekosysteemikumppaneiden kanssa varastettujen varojen jäljittämiseksi ja takaisin saamiseksi.

X:ssä julkaistussa viestissä Volo ilmoitti kattavansa tappiot kokonaan siirtämättä kustannuksia tallettajille. "Volo on valmis kattamaan tämän tappion. Teemme parhaamme, jotta tämä ei siirry käyttäjillemme", tiimi kirjoitti. Täydellinen jälkianalyysi luvattiin, kun tutkinta on saatu päätökseen.

"Olemme nyt vahinkojen hallintamoodissa, mutta kun se on tehty, laadimme korjaussuunnitelman, ja täydellinen erittely jaetaan pian", tiimi lisäsi.

30 minuutin kuluessa alkuperäisestä ilmoituksesta Volo ilmoitti jäädyttäneensä noin 500 000 dollaria varastetuista varoista yhteistyössä ekosysteemikumppaneiden kanssa. Seuraavana päivänä, 22. huhtikuuta, tiimi vahvisti, että se oli pysäyttänyt ja estänyt hyökkääjän yrityksen siirtää 19,6 WBTC:tä, joiden arvo oli noin 2,1 miljoonaa dollaria. Nämä varat eivät ole enää hyökkääjän hallinnassa.

Turvallisuusyritykset Goplus Security, Exvul Security ja Bitslab julkaisivat kukin alustavia ketjuanalyyseja, jotka osoittivat syyksi vaarantuneen, laajojen oikeuksien sisältävän operaattoriavaimen. Tutkijat tunnistivat hyökkääjän osoitteeksi 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, joka käytti muun muassa withdraw_with_account_cap_v2-toimintoa tyhjentääkseen varastot.

Goplus katsoi, että hyökkäys johtui sosiaalisen manipuloinnin ja siihen liittyvien petostaktiikoiden kohdistamisesta varaston järjestelmänvalvojan tiliin. Smart contract -sopimuksen ydinkoodissa ei havaittu puutteita. Tämä sijoittaa tietomurron avainhallinnan epäonnistumisten luokkaan pikemminkin kuin protokollatason haavoittuvuuksien luokkaan.

Volo oli aiemmin suorittanut auditointeja Ottersecin, Movebitin ja Hackenin kanssa ja ylläpitänyt aktiivista bug bounty -ohjelmaa hyökkäyksen tapahtumahetkellä. Kaikki varastot ovat edelleen jäädytettyinä. Volo ja sen kumppanit työskentelevät aktiivisesti palauttaakseen estetyt WBTC:t protokollalle. Yksityiskohtainen korjaussuunnitelma liitetään tulevaan jälkianalyysiin.

Huhtikuun 2026 hyökkäys Voloon seurasi KelpDAO:n tietomurtoa 18. huhtikuuta 2026. Protokollien yhteenlasketut DeFi-tappiot huhtikuussa 2026 ovat joidenkin arvioiden mukaan ylittäneet 600 miljoonaa dollaria, mikä heijastaa hyökkäysmallia, jossa kohteena ovat pääsynvalvonta ja avainhallinta pikemminkin kuin ketjukoodi.

Vaikutuksilta säästyneiden holvien tallettajat eivät ole ilmoittaneet tappioita. Volon tiimi on ohjannut käyttäjät X:n viralliselle @volo_sui-tilille saadakseen reaaliaikaisia päivityksiä ennen täydellisen jälkianalyysin julkaisua.

Tapaus lisää kasvavaa luetteloa DeFi-alustoista, jotka kohtaavat avainhallinnan riskejä huolimatta virallisten auditointien läpäisemisestä. Tämä on malli, jonka tietoturvatutkijat ovat toistuvasti tuoneet esiin useissa lohkoketjujen ekosysteemeissä vuosina 2025 ja 2026.