Volo Protocol, een platform voor liquid staking en BTCFi op de Sui-blockchain, heeft deze week bevestigd dat er 3,5 miljoen dollar is buitgemaakt door een beveiligingslek, dat verband hield met een gecompromitteerde privésleutel van een kluisbeheerder.
Volo Protocol lijdt verlies van 3,5 miljoen dollar door kwetsbaarheid in Sui-blockchain en blokkeert poging tot WBTC-bridge
GESCHREVEN DOOR
DELEN
Belangrijkste punten:
- Volo Protocol verloor op 21 april 2026 3,5 miljoen dollar uit drie op Sui gebaseerde kluizen, nadat een privésleutel van de beheerder was gecompromitteerd.
- GoPlus Security en ExVul bevestigden een inbreuk op de bevoorrechte beheerderssleutel, niet een fout in de geauditeerde slimme contracten van Volo.
- Volo blokkeerde de poging van de aanvaller om 19,6 WBTC over te zetten en neemt alle verliezen voor zijn rekening, waarbij de kluizen zijn bevroren in afwachting van een post-mortem.
Volo Protocol $ 3,5 miljoen beveiligingslek: wat gebeurde er op de Sui-blockchain
De aanval leegde drie kluizen met wrapped bitcoin (WBTC), het getokeniseerde goudactief XAUm van Matrixdock en USDC. Onafhankelijke analyses schatten de verliezen op ongeveer 2,1 miljoen dollar aan WBTC, 0,9 miljoen dollar aan XAUm en 0,5 miljoen dollar aan USDC. De overige kluizen, met een totale waarde van ongeveer 28 miljoen dollar, werden niet getroffen en vertoonden geen gedeelde kwetsbaarheid.
Het team van Volo ontdekte de inbreuk snel. Het team bevroor alle kluizen, bracht de Sui Foundation op de hoogte en begon samen te werken met on-chain onderzoekers en ecosysteempartners om de gestolen middelen op te sporen en terug te vorderen.
In een bericht op X verklaarde Volo dat het het volledige verlies zou opvangen zonder de kosten door te berekenen aan de deposanten. "Volo is bereid dit verlies op te vangen. We zullen ons best doen om dit niet door te berekenen aan onze gebruikers," schreef het team. Er werd een volledige analyse beloofd zodra het onderzoek is afgerond.
"We zijn nu bezig met schadebeperking, maar zodra dat is afgerond, zullen we een herstelplan opstellen en zal er binnenkort een volledig overzicht worden gedeeld," voegde het team toe.
Binnen 30 minuten na de eerste aankondiging meldde Volo dat het ongeveer $500.000 aan gestolen activa had bevroren door samenwerking met partners in het ecosysteem. De volgende dag, op 22 april, bevestigde het team dat het de poging van de aanvaller om 19,6 WBTC, ter waarde van ongeveer 2,1 miljoen dollar, over te hevelen, had onderschept en geblokkeerd. Die middelen zijn niet langer in handen van de aanvaller.
Beveiligingsbedrijven Goplus Security, Exvul Security en Bitslab publiceerden elk voorlopige on-chain-analyses die wezen op een gecompromitteerde operatorsleutel met hoge privileges als de hoofdoorzaak. Onderzoekers identificeerden het adres van de aanvaller als 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, dat functies zoals withdraw_with_account_cap_v2 gebruikte om de kluizen leeg te halen.
Goplus schreef de inbreuk toe aan social engineering en aanverwante fraudetechnieken die gericht waren op het beheerdersaccount van de kluis. Er werd geen fout in de kerncode van het smart contract vastgesteld. Hierdoor valt de inbreuk onder de categorie van fouten in het sleutelbeheer in plaats van kwetsbaarheden op protocolniveau.
Volo had eerder audits uitgevoerd met Ottersec, Movebit en Hacken en had op het moment van de aanval een actief bug bounty-programma. Alle kluizen blijven bevroren. Volo en zijn partners werken er actief aan om de geblokkeerde WBTC terug te storten naar het protocol. Een gedetailleerd herstelplan zal worden toegevoegd aan de komende post-mortem.
De aanval op Volo in april 2026 volgde op de inbreuk bij KelpDAO op 18 april 2026. De cumulatieve DeFi-verliezen over alle protocollen in april 2026 bedragen volgens sommige schattingen meer dan 600 miljoen dollar, wat een patroon weerspiegelt van exploits die gericht zijn op toegangscontroles en sleutelbeheer in plaats van op on-chain code.
Incidentrapport: Llamarisk en dienstverleners van Aave geven details over de Kelp rsETH-hack op de Ethereum- en Arbitrum-markten
Door een kwetsbaarheid in de Bridge-protocol is op 18 april 116.500 rsETH weggevloeid uit de OFT-adapter van Kelp, waardoor Aave V3 blootgesteld werd aan een potentieel verlies van maximaal 230 miljoen dollar. read more.
Lees nu
Incidentrapport: Llamarisk en dienstverleners van Aave geven details over de Kelp rsETH-hack op de Ethereum- en Arbitrum-markten
Door een kwetsbaarheid in de Bridge-protocol is op 18 april 116.500 rsETH weggevloeid uit de OFT-adapter van Kelp, waardoor Aave V3 blootgesteld werd aan een potentieel verlies van maximaal 230 miljoen dollar. read more.
Lees nuIncidentrapport: Llamarisk en dienstverleners van Aave geven details over de Kelp rsETH-hack op de Ethereum- en Arbitrum-markten
Lees nuDoor een kwetsbaarheid in de Bridge-protocol is op 18 april 116.500 rsETH weggevloeid uit de OFT-adapter van Kelp, waardoor Aave V3 blootgesteld werd aan een potentieel verlies van maximaal 230 miljoen dollar. read more.
Deposanten in niet-getroffen kluizen hebben geen verliezen gemeld. Het team van Volo heeft gebruikers doorverwezen naar het officiële @volo_sui-account op X voor realtime updates in afwachting van de publicatie van de volledige post-mortem.
Het incident draagt bij aan een groeiend aantal DeFi-platforms die te maken hebben met risico's op het gebied van sleutelbeheer, ondanks het doorstaan van formele audits, een patroon dat beveiligingsonderzoekers in 2025 en 2026 herhaaldelijk hebben gesignaleerd in meerdere blockchain-ecosystemen.
