Volo Protocol, una piattaforma di liquid staking e BTCFi sulla blockchain Sui, ha confermato questa settimana una violazione della sicurezza del valore di 3,5 milioni di dollari, legata alla compromissione della chiave privata di amministrazione di un vault. Punti chiave:
Il protocollo Volo subisce una perdita di 3,5 milioni di dollari a causa di una vulnerabilità nella blockchain Sui e blocca un tentativo di ponte WBTC
SCRITTO DA
CONDIVIDI
- Il 21 aprile 2026, Volo Protocol ha perso 3,5 milioni di dollari da tre vault basati su Sui a seguito della compromissione di una chiave privata di amministrazione.
- GoPlus Security ed ExVul hanno confermato una violazione della chiave dell'operatore privilegiato, non un difetto negli smart contract sottoposti a revisione di Volo.
- Volo ha bloccato il tentativo di bridge da 19,6 WBTC dell'autore dell'attacco e sta assorbendo tutte le perdite, con i vault congelati in attesa di un'analisi post-mortem.
Violazione della sicurezza da 3,5 milioni di dollari del protocollo Volo: cosa è successo sulla blockchain Sui
L'attacco ha prosciugato tre vault contenenti wrapped bitcoin (WBTC), l'asset tokenizzato in oro XAUm di Matrixdock e USDC. Analisi indipendenti hanno stimato le perdite a circa 2,1 milioni di dollari in WBTC, 0,9 milioni di dollari in XAUm e 0,5 milioni di dollari in USDC. I restanti vault, che rappresentano circa 28 milioni di dollari di valore totale bloccato, non sono stati colpiti e non hanno mostrato alcuna vulnerabilità comune.
Il team di Volo ha rilevato rapidamente la violazione. Il team ha congelato tutti i vault, ha informato la Sui Foundation e ha iniziato a collaborare con investigatori on-chain e partner dell'ecosistema per rintracciare e recuperare i fondi rubati.
In un post su X, Volo ha dichiarato che si farà carico dell'intera perdita senza trasferire i costi ai depositanti. "Volo è pronta ad assorbire questa perdita. Faremo del nostro meglio per non trasferirla ai nostri utenti", ha scritto il team. È stata promessa un'analisi completa una volta conclusa l'indagine.
"Al momento siamo in modalità di contenimento dei danni, ma una volta terminato, elaboreremo un piano di rimedio e a breve condivideremo un resoconto completo", ha aggiunto il team. Entro 30 minuti dall'annuncio iniziale, Volo ha riferito di aver congelato circa 500.000 dollari delle risorse rubate grazie alla collaborazione con i partner dell'ecosistema. Il giorno seguente, il 22 aprile, il team ha confermato di aver intercettato e bloccato il tentativo dell'autore dell'attacco di trasferire 19,6 WBTC, per un valore di circa 2,1 milioni di dollari. Tali fondi non sono più sotto il controllo dell'autore dell'attacco. Le società di sicurezza Goplus Security, Exvul Security e Bitslab hanno pubblicato ciascuna analisi preliminari on-chain che indicano come causa principale una chiave operatore ad alto privilegio compromessa. I ricercatori hanno identificato l'indirizzo dell'autore dell'attacco come 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, che ha utilizzato funzioni tra cui withdraw_with_account_cap_v2 per prosciugare i vault.
Goplus ha attribuito la compromissione a tecniche di ingegneria sociale e frodi correlate che hanno preso di mira l'account amministratore del vault. Non è stata identificata alcuna falla nel codice principale dello smart contract. Ciò colloca la violazione nella categoria dei fallimenti nella gestione delle chiavi piuttosto che nelle vulnerabilità a livello di protocollo.
Volo aveva precedentemente completato audit con Ottersec, Movebit e Hacken e, al momento dell'exploit, manteneva attivo un programma di bug bounty. Tutti i vault rimangono congelati. Volo e i suoi partner stanno lavorando attivamente per restituire il WBTC bloccato al protocollo. Un piano di rimedio dettagliato accompagnerà il prossimo post-mortem.
L'attacco ad aprile 2026 contro Volo ha fatto seguito alla violazione di KelpDAO del 18 aprile 2026. Le perdite cumulative DeFi tra i protocolli nell'aprile 2026 hanno superato i 600 milioni di dollari secondo alcune stime, riflettendo un modello di exploit mirati ai controlli di accesso e alla gestione delle chiavi piuttosto che al codice on-chain.
Rapporto sull'incidente: Llamarisk e i fornitori di servizi Aave descrivono in dettaglio l'attacco hacker a Kelp rsETH sui mercati di Ethereum e Arbitrum
Il 18 aprile, una vulnerabilità del bridge ha causato la sottrazione di 116.500 rsETH dall'adattatore OFT di Kelp, esponendo Aave V3 a un potenziale rischio di crediti inesigibili pari a 230 milioni di dollari. read more.
Leggi ora
Rapporto sull'incidente: Llamarisk e i fornitori di servizi Aave descrivono in dettaglio l'attacco hacker a Kelp rsETH sui mercati di Ethereum e Arbitrum
Il 18 aprile, una vulnerabilità del bridge ha causato la sottrazione di 116.500 rsETH dall'adattatore OFT di Kelp, esponendo Aave V3 a un potenziale rischio di crediti inesigibili pari a 230 milioni di dollari. read more.
Leggi oraRapporto sull'incidente: Llamarisk e i fornitori di servizi Aave descrivono in dettaglio l'attacco hacker a Kelp rsETH sui mercati di Ethereum e Arbitrum
Leggi oraIl 18 aprile, una vulnerabilità del bridge ha causato la sottrazione di 116.500 rsETH dall'adattatore OFT di Kelp, esponendo Aave V3 a un potenziale rischio di crediti inesigibili pari a 230 milioni di dollari. read more.
I depositanti nei vault non interessati non hanno segnalato perdite. Il team di Volo ha indirizzato gli utenti all'account ufficiale @volo_sui su X per aggiornamenti in tempo reale in attesa della pubblicazione completa dell'analisi post-mortem.
L'incidente si aggiunge a un numero crescente di piattaforme DeFi che affrontano rischi legati alla gestione delle chiavi nonostante abbiano superato audit formali, un modello che i ricercatori di sicurezza hanno segnalato ripetutamente in diversi ecosistemi blockchain nel 2025 e nel 2026.
