A Sui blokkláncon működő likviditási staking és BTCFi platform, a Volo Protocol a héten megerősítette, hogy 3,5 millió dollár értékű biztonsági rés keletkezett, amely egy feltört trezor-adminisztrátori titkos kulcshoz köthető.
A Volo Protocol 3,5 millió dollárt veszített a Sui blokklánc biztonsági résének kihasználása miatt, és megakadályozta a WBTC-híd támadását
ÍRTA
MEGOSZTÁS
Főbb pontok:
- A Volo Protocol 2026. április 21-én 3,5 millió dollárt vesztett három Sui-alapú trezorjából, miután feltörték az adminisztrátori titkos kulcsot.
- A GoPlus Security és az ExVul megerősítette, hogy a támadás egy privilegizált operátor kulcs megsértéséből származott, és nem a Volo auditált intelligens szerződéseinek hibájából.
- A Volo blokkolta a támadó 19,6 WBTC-s hídkísérletét, és fedezi az összes veszteséget, a széfeket pedig a vizsgálat lezárultáig befagyasztotta.
A Volo Protocol 3,5 millió dolláros biztonsági incidense: Mi történt a Sui blokkláncon
A támadás három széfet ürített ki, amelyek wrapped bitcoint (WBTC), a Matrixdock tokenizált aranyeszközét, az XAUm-ot, valamint USDC-t tartalmaztak. Független becslések szerint a veszteségek körülbelül 2,1 millió dollár WBTC-ben, 0,9 millió dollár XAUm-ban és 0,5 millió dollár USDC-ben merültek ki. A fennmaradó széfek, amelyek összesen körülbelül 28 millió dollár értékű zárolt eszközt képviselnek, nem érintettek, és nem mutattak közös sebezhetőséget.
A Volo csapata gyorsan észlelte a biztonsági rést. A csapat befagyasztotta az összes széfet, értesítette a Sui Alapítványt, és együttműködést kezdett az onchain nyomozókkal és az ökoszisztéma partnereivel a lopott pénzeszközök nyomon követése és visszaszerzése érdekében.
Az X-en közzétett bejegyzésében a Volo kijelentette, hogy a teljes veszteséget magára vállalja, anélkül, hogy a költségeket a betétesekre hárítaná. „A Volo készen áll a veszteség viselésére. Mindent megteszünk, hogy ezt ne hárítsuk át a felhasználóinkra” – írta a csapat. A vizsgálat lezárultával teljes körű utólagos elemzést ígértek.
„Jelenleg a kárcsökkentésen dolgozunk, de amint ez elkészül, kidolgozunk egy helyreállítási tervet, és hamarosan közzétesszük a teljes részleteket” – tette hozzá a csapat.
Az első bejelentéstől számított 30 percen belül a Volo arról számolt be, hogy az ökoszisztéma partnereivel együttműködve mintegy 500 000 dollár értékű ellopott eszközt fagyasztott be. Másnap, április 22-én a csapat megerősítette, hogy elfogta és blokkolta a támadó kísérletét, amelynek célja 19,6 WBTC – körülbelül 2,1 millió dollár értékű – átutalása volt. Ezek az eszközök már nem a támadó ellenőrzése alatt állnak.
A Goplus Security, az Exvul Security és a Bitslab biztonsági cégek mindegyike közzétett egy előzetes on-chain elemzést, amely a kompromittált, magas jogosultságú operátor kulcsot jelölte meg a probléma kiváltó okaként. A kutatók a támadó címét 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75-ként azonosították, amely a withdraw_with_account_cap_v2 és más funkciókat használt a széfek kiürítésére.
A Goplus a támadást a széf adminisztrátori fiókját célzó szociális mérnöki és kapcsolódó csalási technikáknak tulajdonította. A smart contract kódjában nem azonosítottak hibát. Ezáltal a támadás inkább a kulcskezelési hibák, mintsem a protokollszintű sebezhetőségek kategóriájába sorolható.
A Volo korábban már elvégezte az Ottersec, a Movebit és a Hacken által végzett auditokat, és a támadás idején aktív hibajelentési programot működtetett. Az összes széf továbbra is befagyasztva van. A Volo és partnerei aktívan dolgoznak azon, hogy a blokkolt WBTC-t visszajuttassák a protokollba. A közelgő utólagos elemzéshez részletes helyreállítási terv is csatolásra kerül.
A 2026. áprilisi Volo elleni támadás a 2026. április 18-i KelpDAO-támadást követte. Egyes becslések szerint a 2026. áprilisi protokollok közötti kumulatív DeFi-veszteségek meghaladták a 600 millió dollárt, ami azt a mintát tükrözi, hogy a támadások inkább a hozzáférés-ellenőrzést és a kulcskezelést célozzák meg, mint a láncon belüli kódot.
Eseményjelentés: A Llamarisk és az Aave szolgáltatói részletesen ismertetik a Kelp rsETH-t érintő támadást az Ethereum és az Arbitrum piacain
Április 18-án egy hídon keresztül végrehajtott támadás során 116 500 rsETH-t csaltak ki a Kelp OFT-adapteréből, ami akár 230 millió dollárnyi potenciális behajthatatlan követelést is jelenthet az Aave V3 számára. read more.
Olvass most
Eseményjelentés: A Llamarisk és az Aave szolgáltatói részletesen ismertetik a Kelp rsETH-t érintő támadást az Ethereum és az Arbitrum piacain
Április 18-án egy hídon keresztül végrehajtott támadás során 116 500 rsETH-t csaltak ki a Kelp OFT-adapteréből, ami akár 230 millió dollárnyi potenciális behajthatatlan követelést is jelenthet az Aave V3 számára. read more.
Olvass mostEseményjelentés: A Llamarisk és az Aave szolgáltatói részletesen ismertetik a Kelp rsETH-t érintő támadást az Ethereum és az Arbitrum piacain
Olvass mostÁprilis 18-án egy hídon keresztül végrehajtott támadás során 116 500 rsETH-t csaltak ki a Kelp OFT-adapteréből, ami akár 230 millió dollárnyi potenciális behajthatatlan követelést is jelenthet az Aave V3 számára. read more.
Az érintetlen trezorok betétesei nem jelentettek veszteségeket. A Volo csapata a teljes utólagos elemzés közzététele előtt a felhasználókat az X hivatalos @volo_sui fiókjára irányította a valós idejű frissítésekért.
Az incidens tovább növeli azon DeFi-platformok egyre növekvő számát, amelyek formális auditok ellenére is kulcskezelési kockázatokkal szembesülnek – egy olyan mintát, amelyet a biztonsági kutatók 2025-ben és 2026-ban több blokklánc-ökoszisztémában is többször jeleztek.
