Protokol Volo Kehilangan $3,5 Juta Akibat Eksploitasi di Jaringan Sui, Memblokir Upaya Penyerangan Jembatan WBTC

Poin Penting:

• Volo Protocol kehilangan $3,5 juta dari tiga vault berbasis Sui pada 21 April 2026, akibat kunci pribadi admin yang diretas.
• GoPlus Security dan ExVul mengonfirmasi adanya pelanggaran kunci operator berprivilese, bukan kelemahan pada kontrak pintar Volo yang telah diaudit.
• Volo memblokir upaya jembatan 19,6 WBTC oleh penyerang dan menanggung seluruh kerugian, dengan brankas dibekukan sambil menunggu penyelidikan pasca-insiden.

Pelanggaran Keamanan Volo Protocol senilai $3,5 juta: Apa yang Terjadi di Blockchain Sui

Serangan tersebut menguras tiga vault yang menyimpan wrapped bitcoin (WBTC), aset emas yang ditokenisasi XAUm dari Matrixdock, dan USDC. Analisis independen memperkirakan kerugian sebesar sekitar $2,1 juta dalam WBTC, $0,9 juta dalam XAUm, dan $0,5 juta dalam USDC. Vault-vault lainnya, yang mewakili total nilai terkunci sekitar $28 juta, tidak terpengaruh dan tidak menunjukkan kerentanan yang sama.

Tim Volo mendeteksi pelanggaran tersebut dengan cepat. Tim membekukan semua brankas, memberi tahu Sui Foundation, dan mulai bekerja sama dengan penyelidik on-chain serta mitra ekosistem untuk melacak dan memulihkan dana yang dicuri.

Dalam sebuah posting di X, Volo menyatakan akan menanggung seluruh kerugian tanpa membebankan biaya kepada para deposan. "Volo siap menanggung kerugian ini. Kami akan berusaha sebaik mungkin untuk tidak membebankan ini kepada pengguna kami," tulis tim tersebut. Sebuah laporan post-mortem lengkap dijanjikan setelah penyelidikan selesai.

"Saat ini kami sedang dalam mode penanganan dampak, tetapi setelah itu selesai, kami akan menyusun rencana perbaikan, dan rincian lengkap akan segera dibagikan," tambah tim.

Dalam waktu 30 menit setelah pengumuman awal, Volo melaporkan telah membekukan sekitar $500.000 dari aset yang dicuri melalui kolaborasi dengan mitra ekosistem. Keesokan harinya, pada 22 April, tim mengonfirmasi bahwa mereka telah mencegat dan memblokir upaya penyerang untuk mentransfer 19,6 WBTC, senilai sekitar $2,1 juta. Dana tersebut kini tidak lagi berada di bawah kendali penyerang.

Perusahaan keamanan Goplus Security, Exvul Security, dan Bitslab masing-masing menerbitkan analisis on-chain awal yang menunjukkan bahwa kunci operator berprivilese tinggi yang diretas menjadi akar masalahnya. Para peneliti mengidentifikasi alamat penyerang sebagai 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, yang menggunakan fungsi termasuk withdraw_with_account_cap_v2 untuk menguras brankas.

Goplus mengaitkan insiden ini dengan teknik rekayasa sosial dan penipuan terkait yang menargetkan akun admin vault. Tidak ditemukan celah dalam kode kontrak pintar inti. Hal ini menempatkan insiden tersebut dalam kategori kegagalan manajemen kunci, bukan kerentanan tingkat protokol.

Volo sebelumnya telah menyelesaikan audit bersama Ottersec, Movebit, dan Hacken, serta menjalankan program bug bounty yang aktif pada saat eksploitasi terjadi. Semua vault tetap dibekukan. Volo dan mitranya sedang aktif bekerja untuk mengembalikan WBTC yang diblokir ke protokol. Rencana remediasi terperinci akan menyertai laporan post-mortem yang akan datang.

Serangan terhadap Volo pada April 2026 terjadi setelah insiden KelpDAO pada 18 April 2026. Kerugian DeFi kumulatif di seluruh protokol pada April 2026 telah melebihi $600 juta menurut beberapa perkiraan, mencerminkan pola serangan yang menargetkan kontrol akses dan manajemen kunci, bukan kode on-chain.

Para deposan di vault yang tidak terpengaruh belum melaporkan kerugian. Tim Volo telah mengarahkan pengguna ke akun resmi @volo_sui di X untuk mendapatkan pembaruan real-time menjelang publikasi laporan post-mortem lengkap.

Insiden ini menambah daftar yang terus bertambah dari platform DeFi yang menghadapi risiko manajemen kunci meskipun telah lulus audit formal, sebuah pola yang telah berulang kali diwaspadai oleh peneliti keamanan di berbagai ekosistem blockchain pada tahun 2025 dan 2026.