O Volo Protocol, uma plataforma de staking líquido e BTCFi na blockchain Sui, confirmou esta semana uma falha de segurança que resultou em um prejuízo de US$ 3,5 milhões, relacionada ao comprometimento da chave privada de administração de um cofre.
O Protocolo Volo perde US$ 3,5 milhões em uma falha de segurança na blockchain Sui e bloqueia tentativa de ponte WBTC
ESCRITO POR
PARTILHAR
Pontos principais:
- O Volo Protocol perdeu US$ 3,5 milhões de três cofres baseados na Sui em 21 de abril de 2026, após o comprometimento de uma chave privada de administrador.
- A GoPlus Security e a ExVul confirmaram uma violação da chave de operador privilegiada, e não uma falha nos contratos inteligentes auditados do Volo.
- O Volo bloqueou a tentativa de ponte de 19,6 WBTC do invasor e está arcando com todas as perdas, com os cofres congelados enquanto se aguarda a análise pós-incidente.
Violação de segurança de US$ 3,5 milhões do Protocolo Volo: o que aconteceu na blockchain Sui
O ataque esvaziou três cofres que continham bitcoin encapsulado (WBTC), o ativo de ouro tokenizado XAUm da Matrixdock e USDC. Análises independentes estimaram as perdas em aproximadamente US$ 2,1 milhões em WBTC, US$ 0,9 milhão em XAUm e US$ 0,5 milhão em USDC. Os cofres restantes, representando cerca de US$ 28 milhões em valor total bloqueado, não foram afetados e não apresentaram vulnerabilidade comum.
A equipe da Volo detectou a violação rapidamente. A equipe congelou todos os cofres, notificou a Fundação Sui e começou a trabalhar com investigadores on-chain e parceiros do ecossistema para rastrear e recuperar os fundos roubados.
Em uma publicação no X, a Volo declarou que absorveria a perda total sem repassar os custos aos depositantes. “A Volo está preparada para absorver essa perda. Faremos o possível para não repassar isso aos nossos usuários”, escreveu a equipe. Foi prometida uma análise completa assim que a investigação for concluída.
“Estamos agora em modo de controle de danos, mas assim que isso for concluído, elaboraremos um plano de remediação, e um relatório detalhado será compartilhado em breve”, acrescentou a equipe.
Em até 30 minutos após o anúncio inicial, a Volo informou ter congelado aproximadamente US$ 500.000 dos ativos roubados por meio da colaboração com parceiros do ecossistema. No dia seguinte, 22 de abril, a equipe confirmou ter interceptado e bloqueado a tentativa do invasor de transferir 19,6 WBTC, no valor aproximado de US$ 2,1 milhões. Esses fundos não estão mais sob o controle do invasor.
As empresas de segurança Goplus Security, Exvul Security e Bitslab publicaram, cada uma, análises preliminares na cadeia de blocos apontando uma chave de operador com privilégios elevados comprometida como a causa principal. Os pesquisadores identificaram o endereço do invasor como 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, que utilizou funções como withdraw_with_account_cap_v2 para esvaziar os cofres.
A Goplus atribuiu o comprometimento à engenharia social e técnicas de fraude relacionadas, direcionadas à conta de administrador do cofre. Nenhuma falha no código principal do contrato inteligente foi identificada. Isso coloca a violação na categoria de falhas de gerenciamento de chaves, em vez de vulnerabilidades no nível do protocolo.
A Volo já havia concluído auditorias com a Ottersec, a Movebit e a Hacken, e mantinha um programa ativo de recompensa por bugs no momento da exploração. Todos os cofres permanecem congelados. A Volo e seus parceiros estão trabalhando ativamente para devolver o WBTC bloqueado ao protocolo. Um plano detalhado de correção acompanhará a análise pós-incidente a ser publicada em breve.
O ataque de abril de 2026 à Volo ocorreu após a violação da KelpDAO em 18 de abril de 2026. As perdas acumuladas de DeFi em todos os protocolos em abril de 2026 ultrapassaram US$ 600 milhões, segundo algumas estimativas, refletindo um padrão de explorações que visam controles de acesso e gerenciamento de chaves, em vez do código na cadeia de blocos.
Relatório de incidente: Llamarisk e os provedores de serviços da Aave detalham o ataque ao rsETH da Kelp nos mercados Ethereum e Arbitrum
Uma vulnerabilidade na ponte resultou no roubo de 116.500 rsETH do adaptador OFT da Kelp em 18 de abril, expondo o Aave V3 a um risco potencial de perdas de até US$ 230 milhões. read more.
Leia agora
Relatório de incidente: Llamarisk e os provedores de serviços da Aave detalham o ataque ao rsETH da Kelp nos mercados Ethereum e Arbitrum
Uma vulnerabilidade na ponte resultou no roubo de 116.500 rsETH do adaptador OFT da Kelp em 18 de abril, expondo o Aave V3 a um risco potencial de perdas de até US$ 230 milhões. read more.
Leia agoraRelatório de incidente: Llamarisk e os provedores de serviços da Aave detalham o ataque ao rsETH da Kelp nos mercados Ethereum e Arbitrum
Leia agoraUma vulnerabilidade na ponte resultou no roubo de 116.500 rsETH do adaptador OFT da Kelp em 18 de abril, expondo o Aave V3 a um risco potencial de perdas de até US$ 230 milhões. read more.
Depositantes em cofres não afetados não relataram perdas. A equipe da Volo orientou os usuários a acessarem a conta oficial @volo_sui no X para obter atualizações em tempo real antes da publicação completa da análise pós-incidente.
O incidente se soma a um histórico crescente de plataformas DeFi que enfrentam riscos de gerenciamento de chaves, apesar de terem sido aprovadas em auditorias formais — um padrão que pesquisadores de segurança têm sinalizado repetidamente em vários ecossistemas de blockchain em 2025 e 2026.
