वोलो प्रोटोकॉल को सूई ब्लॉकचेन एक्सप्लॉइट में 3.5 मिलियन डॉलर का नुकसान, डब्ल्यूबीटीसी ब्रिज प्रयास को ब्लॉक किया।

मुख्य बातें:

• Volo Protocol ने 21 अप्रैल, 2026 को तीन Sui-आधारित वॉल्ट्स से एक समझौता की गई एडमिन प्राइवेट की के कारण $3.5 मिलियन खो दिए।
• GoPlus Security और ExVul ने एक विशेषाधिकार प्राप्त ऑपरेटर कुंजी के उल्लंघन की पुष्टि की, न कि Volo के ऑडिट किए गए स्मार्ट कॉन्ट्रैक्ट्स में किसी खामी की।
• वोलो ने हमलावर के 19.6 WBTC ब्रिज प्रयास को अवरुद्ध कर दिया है और सभी नुकसान खुद उठा रहा है, साथ ही पोस्ट-मॉर्टम की प्रतीक्षा में वॉल्ट्स को फ्रीज कर दिया गया है।

वोलो प्रोटोकॉल $3.5 मिलियन सुरक्षा उल्लंघन: सुई ब्लॉकचेन पर क्या हुआ

इस हमले में रैप्ड बिटकॉइन (WBTC), मैट्रिक्सडॉक का टोकनाइज़्ड गोल्ड एसेट XAUm, और USDC रखने वाले तीन वॉल्ट्स से धन निकाला गया। स्वतंत्र विश्लेषणों के अनुसार, WBTC में लगभग $2.1 मिलियन, XAUm में $0.9 मिलियन, और USDC में $0.5 मिलियन का नुकसान हुआ। शेष वॉल्ट्स, जिनमें कुल लगभग $28 मिलियन का मूल्य बंद है, प्रभावित नहीं हुए और उनमें कोई साझा कमजोरी नहीं पाई गई।

वोलो की टीम ने इस उल्लंघन का जल्दी पता लगा लिया। टीम ने सभी वॉल्ट को फ्रीज कर दिया, सू फाउंडेशन को सूचित किया, और चोरी हुए फंड का पता लगाने और उन्हें वसूलने के लिए ऑनचेन जांचकर्ताओं और इकोसिस्टम भागीदारों के साथ काम करना शुरू कर दिया।

एक्स पर एक पोस्ट में, वोलो ने कहा कि वह जमाकर्ताओं पर लागत डाले बिना पूरे नुकसान को वहन करेगा। टीम ने लिखा, "वोलो इस नुकसान को वहन करने के लिए तैयार है। हम इसे अपने उपयोगकर्ताओं पर न डालने की पूरी कोशिश करेंगे।" जांच समाप्त होने के बाद एक पूर्ण पोस्ट-मॉर्टम का वादा किया गया।

टीम ने आगे कहा, "हम अब क्षति नियंत्रण मोड में हैं, लेकिन एक बार यह हो जाने के बाद, हम एक सुधारात्मक योजना बनाएंगे, और एक पूरा ब्योरा जल्द ही साझा किया जाएगा।"

प्रारंभिक घोषणा के 30 मिनट के भीतर, वोलो ने इकोसिस्टम भागीदारों के सहयोग से चोरी हुए लगभग $500,000 मूल्य की संपत्ति को फ्रीज करने की सूचना दी। अगले दिन, 22 अप्रैल को, टीम ने पुष्टि की कि उसने हमलावर के 19.6 WBTC, लगभग $2.1 मिलियन के बराबर, को ब्रिज आउट करने के प्रयास को रोक दिया और ब्लॉक कर दिया। वे फंड अब हमलावर के नियंत्रण में नहीं हैं।

सुरक्षा फर्मों Goplus Security, Exvul Security, और Bitslab ने प्रत्येक ने प्रारंभिक ऑन-चेन विश्लेषण प्रकाशित किए, जिनमें एक समझौता किए गए उच्च-विशेषाधिकार वाले ऑपरेटर कुंजी को मूल कारण बताया गया। शोधकर्ताओं ने हमलावर के पते की पहचान 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75 के रूप में की, जिसने वॉल्ट को खाली करने के लिए withdraw_with_account_cap_v2 सहित फ़ंक्शनों का उपयोग किया।

Goplus ने इस समझौते का कारण वॉल्ट के एडमिन खाते को निशाना बनाने वाली सोशल इंजीनियरिंग और संबंधित धोखाधड़ी तकनीकों को बताया। कोर स्मार्ट कॉन्ट्रैक्ट कोड में कोई खामी नहीं पाई गई। यह उल्लंघन को प्रोटोकॉल-स्तर की कमजोरियों के बजाय कुंजी प्रबंधन विफलताओं की श्रेणी में रखता है।

वोलो ने पहले ऑटरसैक, मूवबिट और हैकेन के साथ ऑडिट पूरे किए थे, और एक्सप्लॉइट के समय एक सक्रिय बग बाउंटी प्रोग्राम बनाए रखा था। सभी वॉल्ट फ्रीज़ेड (जमे हुए) हैं। वोलो और उसके भागीदार ब्लॉक किए गए WBTC को प्रोटोकॉल में वापस लाने के लिए सक्रिय रूप से काम कर रहे हैं। एक विस्तृत सुधारात्मक योजना आगामी पोस्ट-मॉर्टम के साथ आएगी।

वोलो पर अप्रैल 2026 का हमला, 18 अप्रैल, 2026 को हुए केल्पडीएओ (KelpDAO) के उल्लंघन के बाद हुआ। अप्रैल 2026 में विभिन्न प्रोटोकॉल में कुल डीएफआई (DeFi) नुकसान कुछ अनुमानों के अनुसार 600 मिलियन डॉलर से अधिक हो गया है, जो ऑनचेन कोड के बजाय एक्सेस कंट्रोल और कुंजी प्रबंधन को लक्षित करने वाले हमलों के एक पैटर्न को दर्शाता है।

अप्रभावित वॉल्ट में जमाकर्ताओं ने कोई नुकसान नहीं बताया है। वोलो की टीम ने उपयोगकर्ताओं को पूर्ण पोस्ट-मॉर्टम प्रकाशित होने से पहले रीयल-टाइम अपडेट के लिए एक्स पर आधिकारिक @volo_sui खाते पर जाने का निर्देश दिया है।

यह घटना उन DeFi प्लेटफार्मों के बढ़ते रिकॉर्ड में शामिल हो गई है, जिन्हें औपचारिक ऑडिट पास करने के बावजूद कुंजी प्रबंधन जोखिमों का सामना करना पड़ता है, यह एक ऐसा पैटर्न है जिसे सुरक्षा शोधकर्ताओं ने 2025 और 2026 में कई ब्लॉकचेन इकोसिस्टम में बार-बार चिह्नित किया है।