Volo Protocol taper 3,5 millioner dollar i Sui-blockkjedeutnyttelse, stopper forsøk på WBTC-bro

Viktige punkter:

• Volo Protocol mistet 3,5 millioner dollar fra tre Sui-baserte vaults 21. april 2026, etter at en kompromittert admin-privatnøkkel ble misbrukt.
• GoPlus Security og ExVul bekreftet et brudd på en privilegert operatørnøkkel, ikke en feil i Volos reviderte smartkontrakter.
• Volo blokkerte angriperens forsøk på å broføre 19,6 WBTC og dekker alle tap, mens vaultene er fryst i påvente av en post-mortem.

Volo Protocols sikkerhetsbrudd på 3,5 millioner dollar: Hva skjedde på Sui-blokkjeden

Angrepet tømte tre vaults som holdt wrapped bitcoin (WBTC), det tokeniserte gullaktivumet XAUm fra Matrixdock, og USDC. Uavhengige gjennomganger anslo tapene til omtrent 2,1 millioner dollar i WBTC, 0,9 millioner dollar i XAUm og 0,5 millioner dollar i USDC. De resterende vaultene, som representerer rundt 28 millioner dollar i total value locked, ble ikke påvirket og viste ingen felles sårbarhet.

Volos team oppdaget bruddet raskt. Teamet frøs alle vaults, varslet Sui Foundation og begynte å samarbeide med onchain-etterforskere og økosystempartnere for å spore og gjenopprette de stjålne midlene.

I et innlegg på X sa Volo at de ville dekke hele tapet uten å velte kostnader over på innskytere. «Volo er forberedt på å absorbere dette tapet. Vi vil gjøre vårt beste for å ikke la dette gå utover brukerne våre», skrev teamet. En full post-mortem ble lovet når etterforskningen er avsluttet.

«Vi er i skadebegrensningsmodus nå, men når det er gjort, vil vi utarbeide en utbedringsplan, og en full gjennomgang vil bli delt snart», la teamet til.

Innen 30 minutter etter den første kunngjøringen rapporterte Volo at de hadde fryst omtrent 500 000 dollar av de stjålne aktivaene gjennom samarbeid med økosystempartnere. Dagen etter, 22. april, bekreftet teamet at de hadde avskåret og blokkert angriperens forsøk på å broføre ut 19,6 WBTC, verdt omtrent 2,1 millioner dollar. Disse midlene er ikke lenger under angriperens kontroll.

Sikkerhetsselskapene Goplus Security, Exvul Security og Bitslab publiserte hver sine foreløpige onchain-analyser som peker på en kompromittert operatørnøkkel med høy privilegiering som rotårsaken. Forskere identifiserte angriperens adresse som 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, som brukte funksjoner inkludert withdraw_with_account_cap_v2 for å tømme vaultene.

Goplus tilskrev kompromitteringen sosial manipulering (social engineering) og relaterte svindelteknikker rettet mot vaultens admin-konto. Ingen feil i kjernen av smartkontraktkoden ble identifisert. Dette plasserer bruddet i kategorien nøkkelhåndteringssvikt snarere enn sårbarheter på protokollnivå.

Volo hadde tidligere fullført revisjoner med Ottersec, Movebit og Hacken, og opprettholdt et aktivt bug bounty-program på tidspunktet for utnyttelsen. Alle vaults forblir fryst. Volo og partnerne deres jobber aktivt med å returnere den blokkerte WBTC-en til protokollen. En detaljert utbedringsplan vil følge den kommende post-mortem-rapporten.

Angrepet på Volo i april 2026 fulgte KelpDAO-bruddet 18. april 2026. Samlede DeFi-tap på tvers av protokoller i april 2026 har etter noen estimater oversteget 600 millioner dollar, noe som reflekterer et mønster av angrep som retter seg mot tilgangskontroller og nøkkelhåndtering snarere enn onchain-kode.

Innskytere i upåvirkede vaults har ikke rapportert tap. Volos team har henvist brukere til den offisielle @volo_sui-kontoen på X for sanntidsoppdateringer i forkant av publiseringen av den fullstendige post-mortem-rapporten.

Hendelsen føyer seg inn i et økende antall DeFi-plattformer som står overfor risiko knyttet til nøkkelhåndtering til tross for at de har bestått formelle revisjoner, et mønster som sikkerhetsforskere gjentatte ganger har påpekt på tvers av flere blokkjedeøkosystemer i 2025 og 2026.