פרוטוקול Volo, פלטפורמת Liquid Staking ו‑BTCFi על גבי בלוקצ’יין Sui, אישר השבוע ניצול אבטחה בהיקף של 3.5 מיליון דולר, שנקשר למפתח פרטי שנפרץ של מנהל כספת.
פרוטוקול וולו מאבד 3.5 מיליון דולר בניצול פרצת אבטחה בבלוקצ'יין Sui, חוסם ניסיון גישור WBTC
נכתב ע"י
שתף
עיקרי הדברים:
- פרוטוקול Volo איבד 3.5 מיליון דולר משלוש כספות מבוססות Sui ב‑21 באפריל 2026, בעקבות פריצה למפתח הפרטי של מנהל.
- GoPlus Security ו‑ExVul אישרו פריצה למפתח של מפעיל בעל הרשאות מיוחדות, ולא פגם בחוזים החכמים שעברו ביקורת של Volo.
- Volo חסם את ניסיון הגישור של התוקף ל‑19.6 WBTC וסופג את כל ההפסדים, כאשר הכספות קפואות עד להשלמת דוח שלאחר האירוע.
פרצת האבטחה של Volo Protocol בסך 3.5 מיליון דולר: מה קרה בבלוקצ’יין Sui
התקפה רוקנה שלוש כספות שהחזיקו ביטקוין עטוף (WBTC), נכס זהב ממוסחר XAUm מבית Matrixdock, ו‑USDC. ניתוחים עצמאיים העריכו את ההפסדים בכ‑2.1 מיליון דולר ב‑WBTC, כ‑0.9 מיליון דולר ב‑XAUm, וכ‑0.5 מיליון דולר ב‑USDC. יתר הכספות, המייצגות בערך 28 מיליון דולר בסך ערך נעול, לא הושפעו ולא הראו פגיעות משותפת.
צוות Volo זיהה את הפריצה במהירות. הצוות הקפיא את כל הכספות, הודיע ל‑Sui Foundation, והחל לעבוד עם חוקרי onchain ושותפים באקוסיסטם כדי להתחקות אחר הכספים שנגנבו ולהשיבם.
בפוסט ב‑X, Volo הצהיר כי יספוג את מלוא ההפסד בלי להעביר עלויות למפקידים. “Volo מוכן לספוג את ההפסד הזה. נעשה כמיטב יכולתנו שלא להעביר זאת למשתמשים שלנו,” כתב הצוות. הובטח דוח מלא לאחר האירוע לאחר סיום החקירה.
“אנחנו כעת במצב של צמצום נזקים, אבל לאחר שזה יסתיים, נגבש תוכנית תיקון, ופירוט מלא ישותף בקרוב,” הוסיף הצוות.
תוך 30 דקות מההודעה הראשונית, Volo דיווח כי הקפיא כ‑500,000 דולר מהנכסים שנגנבו באמצעות שיתוף פעולה עם שותפים באקוסיסטם. למחרת, ב‑22 באפריל, הצוות אישר כי יירט וחסם את ניסיונו של התוקף לגשר החוצה 19.6 WBTC, בשווי של כ‑2.1 מיליון דולר. הכספים הללו אינם עוד בשליטת התוקף.
חברות האבטחה Goplus Security, Exvul Security, ו‑Bitslab פרסמו כל אחת ניתוחים ראשוניים on-chain שמצביעים על מפתח מפעיל בעל הרשאות גבוהות שנפרץ כסיבת השורש. החוקרים זיהו את כתובת התוקף כ‑0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, שהשתמשה בפונקציות כולל withdraw_with_account_cap_v2 כדי לרוקן את הכספות.
Goplus ייחסה את הפשרה להנדסה חברתית ולטכניקות הונאה קשורות שכוונו לחשבון מנהל הכספת. לא זוהה פגם בקוד הליבה של החוזה החכם. הדבר מציב את הפריצה בקטגוריה של כשלי ניהול מפתחות ולא פגיעויות ברמת הפרוטוקול.
Volo השלימה בעבר ביקורות עם Ottersec, Movebit ו‑Hacken, והחזיקה תוכנית באונטי לבאגים פעילה בזמן הניצול. כל הכספות נותרות קפואות. Volo ושותפיה פועלים באופן אקטיבי להשיב את ה‑WBTC שנחסם לפרוטוקול. תוכנית תיקון מפורטת תצורף לדוח שלאחר האירוע שעתיד להתפרסם.
התקפת אפריל 2026 על Volo הגיעה לאחר פרצת KelpDAO ב‑18 באפריל 2026. הפסדי DeFi מצטברים across פרוטוקולים באפריל 2026 חצו לפי חלק מההערכות את 600 מיליון הדולר, ומשקפים דפוס של ניצולים המכוונים לבקרות גישה וניהול מפתחות ולא לקוד onchain.
דוח תקרית: Llamarisk, ספקי השירות של Aave מפרטים את פריצת Kelp rsETH ברחבי שווקי Ethereum ו-Arbitrum
ניצול פרצת גשר רוקן 116,500 rsETH ממתאם ה-OFT של Kelp ב-18 באפריל, וחשף את Aave V3 לעד 230 מיליון דולר בחוב רע פוטנציאלי. read more.
קרא עכשיו
דוח תקרית: Llamarisk, ספקי השירות של Aave מפרטים את פריצת Kelp rsETH ברחבי שווקי Ethereum ו-Arbitrum
ניצול פרצת גשר רוקן 116,500 rsETH ממתאם ה-OFT של Kelp ב-18 באפריל, וחשף את Aave V3 לעד 230 מיליון דולר בחוב רע פוטנציאלי. read more.
קרא עכשיודוח תקרית: Llamarisk, ספקי השירות של Aave מפרטים את פריצת Kelp rsETH ברחבי שווקי Ethereum ו-Arbitrum
קרא עכשיוניצול פרצת גשר רוקן 116,500 rsETH ממתאם ה-OFT של Kelp ב-18 באפריל, וחשף את Aave V3 לעד 230 מיליון דולר בחוב רע פוטנציאלי. read more.
מפקידים בכספות שלא הושפעו לא דיווחו על הפסדים. צוות Volo הנחה משתמשים לעקוב אחר החשבון הרשמי @volo_sui ב‑X לקבלת עדכונים בזמן אמת לפני פרסום הדוח המלא לאחר האירוע.
האירוע מצטרף לרשימה הולכת וגדלה של פלטפורמות DeFi המתמודדות עם סיכוני ניהול מפתחות למרות שעברו ביקורות פורמליות, דפוס שחוקרי אבטחה סימנו שוב ושוב במגוון אקוסיסטמים של בלוקצ’יין בשנים 2025 ו‑2026.
