Volo Protocol, platforma do płynnego stakingu i BTCFi działająca w łańcuchu bloków Sui, potwierdziła w tym tygodniu naruszenie bezpieczeństwa o wartości 3,5 mln dolarów, związane z wykradzeniem prywatnego klucza administratora skarbca.
Protokół Volo stracił 3,5 mln dolarów w wyniku ataku na łańcuch bloków Sui i zablokował próbę wykorzystania mostu WBTC
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze informacje:
- 21 kwietnia 2026 r. Volo Protocol stracił 3,5 mln dolarów z trzech skarbców opartych na Sui w wyniku naruszenia bezpieczeństwa klucza prywatnego administratora.
- Firmy GoPlus Security i ExVul potwierdziły naruszenie klucza operatora z uprawnieniami uprzywilejowanymi, a nie lukę w zweryfikowanych smart kontraktach Volo.
- Volo zablokowało próbę mostkowania 19,6 WBTC przez atakującego i pokrywa wszystkie straty, a skarbce zostały zamrożone w oczekiwaniu na analizę po incydencie.
Naruszenie bezpieczeństwa protokołu Volo o wartości 3,5 mln dolarów: co się wydarzyło w łańcuchu bloków Sui
Atak doprowadził do opróżnienia trzech skarbców zawierających wrapped bitcoin (WBTC), tokenizowane aktywa złota XAUm od Matrixdock oraz USDC. Niezależne analizy oszacowały straty na około 2,1 mln USD w WBTC, 0,9 mln USD w XAUm i 0,5 mln USD w USDC. Pozostałe skarbce, reprezentujące łączną wartość zablokowaną wynoszącą około 28 mln USD, nie zostały dotknięte atakiem i nie wykazały żadnej wspólnej luki w zabezpieczeniach.
Zespół Volo szybko wykrył naruszenie. Zespół zamroził wszystkie skarbce, powiadomił Fundację Sui i rozpoczął współpracę z badaczami łańcucha bloków oraz partnerami ekosystemu w celu wyśledzenia i odzyskania skradzionych środków.
W poście na X firma Volo oświadczyła, że pokryje całą stratę, nie przenosząc kosztów na deponentów. „Volo jest gotowe pokryć tę stratę. Dołożymy wszelkich starań, aby nie obciążać tym naszych użytkowników” – napisał zespół. Po zakończeniu śledztwa obiecano pełną analizę zdarzenia.
„Obecnie jesteśmy w trybie ograniczania szkód, ale gdy to się zakończy, opracujemy plan naprawczy, a pełny raport zostanie wkrótce udostępniony” – dodał zespół.
W ciągu 30 minut od pierwszego ogłoszenia Volo poinformowało o zamrożeniu około 500 000 dolarów skradzionych aktywów dzięki współpracy z partnerami ekosystemu. Następnego dnia, 22 kwietnia, zespół potwierdził, że przechwycił i zablokował próbę atakującego mającą na celu wyprowadzenie 19,6 WBTC o wartości około 2,1 mln dolarów. Środki te nie znajdują się już pod kontrolą atakującego.
Firmy zajmujące się bezpieczeństwem – Goplus Security, Exvul Security i Bitslab – opublikowały wstępne analizy łańcucha bloków, wskazujące jako główną przyczynę naruszenie klucza operatora o wysokich uprawnieniach. Badacze zidentyfikowali adres atakującego jako 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, który wykorzystał funkcje, w tym withdraw_with_account_cap_v2, do opróżnienia skarbców.
Goplus przypisał naruszenie bezpieczeństwa socjotechnice i powiązanym technikom oszustw wymierzonych w konto administratora skarbca. Nie zidentyfikowano żadnych luk w podstawowym kodzie inteligentnego kontraktu. To sprawia, że naruszenie należy zaliczyć do kategorii błędów w zarządzaniu kluczami, a nie do luk na poziomie protokołu.
Volo przeprowadziło wcześniej audyty z firmami Ottersec, Movebit i Hacken oraz prowadziło aktywny program bug bounty w momencie wykorzystania luki. Wszystkie skarbce pozostają zamrożone. Volo i jego partnerzy aktywnie pracują nad zwrotem zablokowanych WBTC do protokołu. Szczegółowy plan naprawczy zostanie dołączony do nadchodzącej analizy po incydencie.
Atak na Volo w kwietniu 2026 r. nastąpił po naruszeniu bezpieczeństwa KelpDAO 18 kwietnia 2026 r. Łączne straty DeFi w różnych protokołach w kwietniu 2026 r. przekroczyły według niektórych szacunków 600 milionów dolarów, co odzwierciedla schemat ataków ukierunkowanych na mechanizmy kontroli dostępu i zarządzanie kluczami, a nie na kod łańcucha bloków.
Raport z incydentu: Llamarisk i dostawcy usług Aave przedstawiają szczegóły ataku hakerskiego na rsETH przeprowadzonego przez Kelp na rynkach Ethereum i Arbitrum
W wyniku ataku typu „bridge exploit” 18 kwietnia z adaptera OFT firmy Kelp wyciekło 116 500 rsETH, narażając Aave V3 na potencjalne straty w wysokości nawet 230 mln dolarów. read more.
Czytaj teraz
Raport z incydentu: Llamarisk i dostawcy usług Aave przedstawiają szczegóły ataku hakerskiego na rsETH przeprowadzonego przez Kelp na rynkach Ethereum i Arbitrum
W wyniku ataku typu „bridge exploit” 18 kwietnia z adaptera OFT firmy Kelp wyciekło 116 500 rsETH, narażając Aave V3 na potencjalne straty w wysokości nawet 230 mln dolarów. read more.
Czytaj terazRaport z incydentu: Llamarisk i dostawcy usług Aave przedstawiają szczegóły ataku hakerskiego na rsETH przeprowadzonego przez Kelp na rynkach Ethereum i Arbitrum
Czytaj terazW wyniku ataku typu „bridge exploit” 18 kwietnia z adaptera OFT firmy Kelp wyciekło 116 500 rsETH, narażając Aave V3 na potencjalne straty w wysokości nawet 230 mln dolarów. read more.
Deponenci w skarbcach, których atak nie dotknął, nie zgłosili strat. Zespół Volo skierował użytkowników na oficjalne konto @volo_sui na X, gdzie mogą uzyskać aktualizacje w czasie rzeczywistym przed opublikowaniem pełnego raportu podsumowującego.
Incydent ten wpisuje się w rosnącą liczbę przypadków platform DeFi narażonych na ryzyko związane z zarządzaniem kluczami pomimo przejścia formalnych audytów, co jest tendencją, na którą badacze bezpieczeństwa wielokrotnie zwracali uwagę w wielu ekosystemach blockchain w latach 2025 i 2026.
