Volo Protocol, une plateforme de staking liquide et de services financiers basés sur le Bitcoin (BTCFi) sur la blockchain Sui, a confirmé cette semaine une faille de sécurité ayant entraîné une perte de 3,5 millions de dollars, liée à la compromission de la clé privée d'administration d'un coffre-fort. Points clés :
Le protocole Volo perd 3,5 millions de dollars suite à une faille de sécurité sur la blockchain Sui et bloque une tentative de pont WBTC
ÉCRIT PAR
PARTAGER
- Le protocole Volo a perdu 3,5 millions de dollars provenant de trois coffres-forts basés sur Sui le 21 avril 2026, à la suite de la compromission d'une clé privée d'administrateur.
- GoPlus Security et ExVul ont confirmé une violation de la clé d'opérateur privilégiée, et non une faille dans les contrats intelligents audités de Volo.
- Volo a bloqué la tentative de pontage de 19,6 WBTC de l'attaquant et prend en charge toutes les pertes, les coffres-forts étant gelés en attendant l'analyse rétrospective.
Faille de sécurité de 3,5 millions de dollars chez Volo Protocol : ce qui s'est passé sur la blockchain Sui
L'attaque a vidé trois coffres contenant des bitcoins enveloppés (WBTC), l'actif aurifère tokenisé XAUm de Matrixdock et des USDC. Des estimations indépendantes ont évalué les pertes à environ 2,1 millions de dollars en WBTC, 0,9 million de dollars en XAUm et 0,5 million de dollars en USDC. Les coffres restants, représentant environ 28 millions de dollars de valeur totale verrouillée, n'ont pas été affectés et ne présentaient aucune vulnérabilité commune.
L'équipe de Volo a rapidement détecté la faille. Elle a gelé tous les coffres-forts, averti la Fondation Sui et commencé à collaborer avec des enquêteurs on-chain et des partenaires de l'écosystème pour retracer et récupérer les fonds volés.
Dans un message publié sur X, Volo a déclaré qu'elle absorberait l'intégralité de la perte sans répercuter les coûts sur les déposants. « Volo est prête à absorber cette perte. Nous ferons de notre mieux pour ne pas la répercuter sur nos utilisateurs », a écrit l'équipe. Un bilan complet a été promis une fois l'enquête terminée.
« Nous sommes actuellement en mode gestion de crise, mais une fois que ce sera fait, nous élaborerons un plan de remédiation, et un compte rendu complet sera partagé sous peu », a ajouté l'équipe. Dans les 30 minutes qui ont suivi l'annonce initiale, Volo a signalé avoir gelé environ 500 000 $ des actifs volés grâce à la collaboration avec des partenaires de l'écosystème. Le lendemain, le 22 avril, l'équipe a confirmé avoir intercepté et bloqué la tentative de l'attaquant de transférer 19,6 WBTC, d'une valeur d'environ 2,1 millions de dollars. Ces fonds ne sont plus sous le contrôle de l'attaquant. Les sociétés de sécurité Goplus Security, Exvul Security et Bitslab ont chacune publié des analyses préliminaires sur la chaîne indiquant qu'une clé d'opérateur à privilèges élevés compromise était la cause principale. Les chercheurs ont identifié l'adresse de l'attaquant comme étant 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, qui a utilisé des fonctions telles que withdraw_with_account_cap_v2 pour vider les coffres.
Goplus a attribué cette compromission à des techniques d'ingénierie sociale et de fraude ciblant le compte administrateur du coffre-fort. Aucune faille dans le code central du contrat intelligent n'a été identifiée. Cela classe cette violation dans la catégorie des défaillances de gestion des clés plutôt que dans celle des vulnérabilités au niveau du protocole.
Volo avait déjà fait réaliser des audits par Ottersec, Movebit et Hacken, et maintenait un programme de prime aux bogues actif au moment de l'exploitation. Tous les coffres-forts restent gelés. Volo et ses partenaires travaillent activement à la restitution des WBTC bloqués au protocole. Un plan de remédiation détaillé accompagnera le rapport d'analyse rétrospective à venir.
L'attaque contre Volo en avril 2026 a suivi la violation de KelpDAO le 18 avril 2026. Les pertes cumulées de la DeFi sur l'ensemble des protocoles en avril 2026 ont dépassé les 600 millions de dollars selon certaines estimations, reflétant une tendance aux exploits ciblant les contrôles d'accès et la gestion des clés plutôt que le code sur la chaîne.
Rapport d'incident : Llamarisk et les fournisseurs de services Aave détaillent le piratage de Kelp rsETH sur les marchés Ethereum et Arbitrum
Une faille de sécurité dans un pont a permis de détourner 116 500 rsETH de l'adaptateur OFT de Kelp le 18 avril, exposant Aave V3 à un risque de créances irrécouvrables pouvant atteindre 230 millions de dollars. read more.
Lire
Rapport d'incident : Llamarisk et les fournisseurs de services Aave détaillent le piratage de Kelp rsETH sur les marchés Ethereum et Arbitrum
Une faille de sécurité dans un pont a permis de détourner 116 500 rsETH de l'adaptateur OFT de Kelp le 18 avril, exposant Aave V3 à un risque de créances irrécouvrables pouvant atteindre 230 millions de dollars. read more.
LireRapport d'incident : Llamarisk et les fournisseurs de services Aave détaillent le piratage de Kelp rsETH sur les marchés Ethereum et Arbitrum
LireUne faille de sécurité dans un pont a permis de détourner 116 500 rsETH de l'adaptateur OFT de Kelp le 18 avril, exposant Aave V3 à un risque de créances irrécouvrables pouvant atteindre 230 millions de dollars. read more.
Les déposants des coffres-forts non affectés n'ont pas signalé de pertes. L'équipe de Volo a invité les utilisateurs à se rendre sur le compte officiel @volo_sui sur X pour obtenir des mises à jour en temps réel en attendant la publication du rapport d'analyse complet.
Cet incident s'ajoute à une liste croissante de plateformes DeFi confrontées à des risques liés à la gestion des clés malgré la réussite d'audits formels, une tendance que les chercheurs en sécurité ont signalée à plusieurs reprises dans divers écosystèmes blockchain en 2025 et 2026.
