Volo Protocol gubi 3,5 milijuna dolara u eksploitu na Sui blockchainu, blokiran pokušaj premošćivanja WBTC-a

Ključne poruke:

• Volo Protocol izgubio je 3,5 milijuna dolara iz tri trezora na Sui mreži 21. travnja 2026., nakon kompromitacije administratorskog privatnog ključa.
• GoPlus Security i ExVul potvrdili su kompromitaciju privilegiranog ključa operatora, a ne propust u Voloovim revidiranim pametnim ugovorima.
• Volo je blokirao napadačev pokušaj bridganja 19,6 WBTC-a te preuzima sve gubitke, dok su trezori zamrznuti do objave post-mortem izvješća.

Sigurnosni proboj Volo Protocola od 3,5 milijuna dolara: Što se dogodilo na Sui blockchainu

Napad je ispraznio tri trezora koja su držala wrapped bitcoin (WBTC), tokenizirano zlato XAUm iz Matrixdocka i USDC. Neovisne analize procijenile su gubitke na približno 2,1 milijun dolara u WBTC-u, 0,9 milijuna dolara u XAUm-u i 0,5 milijuna dolara u USDC-u. Preostali trezori, koji predstavljaju otprilike 28 milijuna dolara ukupne zaključane vrijednosti (TVL), nisu bili pogođeni i nisu pokazali zajedničku ranjivost.

Voloov tim brzo je otkrio proboj. Tim je zamrznuo sve trezore, obavijestio Sui Foundation te započeo suradnju s onchain istražiteljima i partnerima iz ekosustava kako bi se ukradena sredstva pratila i vratila.

U objavi na X-u, Volo je naveo da će apsorbirati cjelokupni gubitak bez prebacivanja troškova na depozitore. “Volo je spreman apsorbirati ovaj gubitak. Dat ćemo sve od sebe da to ne prebacimo na naše korisnike”, napisao je tim. Obećano je cjelovito post-mortem izvješće nakon završetka istrage.

“Trenutačno smo u modu kontrole štete, ali kada to bude završeno, izradit ćemo plan sanacije, a potpuni pregled bit će uskoro podijeljen”, dodao je tim.

Unutar 30 minuta od početne objave, Volo je izvijestio da je zamrznuo približno 500.000 dolara ukradenih sredstava kroz suradnju s partnerima iz ekosustava. Sljedećeg dana, 22. travnja, tim je potvrdio da je presreo i blokirao napadačev pokušaj da prebaci (bridgea) 19,6 WBTC-a, vrijednih približno 2,1 milijun dolara. Ta sredstva više nisu pod kontrolom napadača.

Sigurnosne tvrtke Goplus Security, Exvul Security i Bitslab objavile su preliminarne on-chain analize koje upućuju na kompromitirani operatorski ključ s visokim privilegijama kao temeljni uzrok. Istraživači su identificirali napadačevu adresu kao 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, koja je koristila funkcije uključujući withdraw_with_account_cap_v2 za pražnjenje trezora.

Goplus je kompromitaciju pripisao socijalnom inženjeringu i povezanim prijevarnim tehnikama usmjerenima na administratorski račun trezora. Nije identificiran nikakav propust u jezgrenom kodu pametnih ugovora. Time se incident svrstava u kategoriju neuspjeha upravljanja ključevima, a ne ranjivosti na razini protokola.

Volo je prethodno završio revizije s Ottersec, Movebit i Hacken te je u vrijeme eksploita održavao aktivan program nagrada za prijavu bugova. Svi trezori ostaju zamrznuti. Volo i njegovi partneri aktivno rade na vraćanju blokiranog WBTC-a protokolu. Detaljan plan sanacije bit će priložen nadolazećem post-mortem izvješću.

Napad na Volo u travnju 2026. uslijedio je nakon proboja KelpDAO-a 18. travnja 2026. Kumulativni DeFi gubici kroz protokole u travnju 2026. prema nekim procjenama premašili su 600 milijuna dolara, što odražava obrazac eksploita usmjerenih na kontrole pristupa i upravljanje ključevima, a ne na onchain kod.

Deponenti u nepogođenim trezorima nisu prijavili gubitke. Voloov tim uputio je korisnike na službeni @volo_sui račun na X-u za ažuriranja u stvarnom vremenu uoči objave cjelovitog post-mortem izvješća.

Incident se nadovezuje na sve veći niz DeFi platformi koje se suočavaju s rizicima upravljanja ključevima unatoč prolasku formalnih revizija, obrazac na koji su sigurnosni istraživači više puta upozoravali u više blockchain ekosustava tijekom 2025. i 2026. godine.