Volo Protocolは、Suiブロックチェーンの脆弱性を悪用された結果、350万ドルを失いました。また、WBTCブリッジへの攻撃は阻止されました。

• Volo Protocolは、管理者の秘密鍵が侵害されたことを受け、2026年4月21日にSuiベースの3つの金庫から350万ドルを失いました。
• GoPlus SecurityとExVulは、Voloの監査済みスマートコントラクトに欠陥があったのではなく、特権オペレーターキーが侵害されたことを確認しました。
• Voloは攻撃者による19.6 WBTCのブリッジ試行を阻止し、事後分析が完了するまで金庫を凍結した上で、すべての損失を負担しています。

Volo Protocolの350万ドル規模のセキュリティ侵害：Suiブロックチェーンで何が起きたのか

この攻撃では、ラップドビットコイン（WBTC）、Matrixdockのトークン化された金資産XAUm、USDCを保有する3つの金庫から資金が流出した。独立した分析によると、損失額はWBTCが約210万ドル、XAUmが約90万ドル、USDCが約50万ドルと推定されている。残りの金庫（総ロック済み価値約2,800万ドル相当）は影響を受けず、共通の脆弱性も確認されなかった。

Voloチームは迅速にこの侵害を検知しました。チームはすべての金庫を凍結し、Sui財団に通知するとともに、オンチェーン調査員やエコシステムパートナーと連携して盗まれた資金の追跡と回収を開始しました。

X（旧Twitter）への投稿で、Voloは預金者に費用を転嫁することなく、損失全額を自社で負担すると表明しました。「Voloはこの損失を吸収する準備ができています。ユーザーに負担を転嫁しないよう最善を尽くします」とチームは記しました。調査が終了次第、詳細な事後分析を公開すると約束しました。

「現在は被害の最小化に注力していますが、それが完了次第、是正策を策定し、詳細な内訳を近いうちに公開します」とチームは付け加えました。最初の発表から30分以内に、Voloはエコシステムパートナーとの連携により、盗まれた資産のうち約50万ドルを凍結したと報告しました。 翌22日には、チームは約210万ドル相当の19.6 WBTCをブリッジ経由で流出しようとした攻撃者の試みを阻止したことを確認しました。これらの資金はもはや攻撃者の管理下にはありません。セキュリティ企業のGoplus Security、Exvul Security、Bitslabはそれぞれ、高権限のオペレーターキーが侵害されたことが根本原因であると指摘する予備的なオンチェーン分析を公表しました。 研究者らは攻撃者のアドレスを0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75と特定した。このアドレスはwithdraw_with_account_cap_v2などの関数を使って金庫から資金を流出させていました。

Goplusは、この侵害の原因を、Vaultの管理アカウントを標的としたソーシャルエンジニアリングおよび関連する詐欺手法にあると分析しています。スマートコントラクトのコアコードに欠陥は確認されていません。これにより、今回の侵害はプロトコルレベルの脆弱性ではなく、鍵管理の失敗に分類されます。

Voloは以前、Ottersec、Movebit、Hackenによる監査を完了しており、攻撃発生時点でもバグ報奨金プログラムを運用していました。すべての金庫は凍結されたままです。Voloとそのパートナーは、凍結されたWBTCをプロトコルに返還するために積極的に取り組んでいます。詳細な是正計画は、今後公開される事後分析レポートに併せて提示される予定です。

2026年4月のVoloへの攻撃は、2026年4月18日に発生したKelpDAOへの侵害に続くものでした。2026年4月のプロトコル横断的なDeFiの累積損失額は、一部の推計では6億ドルを超え、オンチェーンコードではなくアクセス制御や鍵管理を標的とした攻撃の傾向を反映しています。

影響を受けていない金庫の預金者からは損失の報告は入っていません。Voloチームは詳細な事後分析レポートの公開に先立ち、リアルタイムの更新情報を得るようユーザーに対し、X上の公式アカウント@volo_suiをフォローするよう案内しています。

この事案は、正式な監査を通過したにもかかわらず鍵管理のリスクに直面するDeFiプラットフォームが増加している実態に加わるものであり、この傾向は2025年および2026年にわたり、複数のブロックチェーンエコシステムにおいてセキュリティ研究者によって繰り返し指摘されてきた。