Volo Protocol, o platformă de staking lichid și BTCFi de pe blockchain-ul Sui, a confirmat săptămâna aceasta o breșă de securitate în valoare de 3,5 milioane de dolari, legată de compromiterea unei chei private de administrator a unui seif.
Protocolul Volo pierde 3,5 milioane de dolari în urma unei vulnerabilități din blockchain-ul Sui și blochează o încercare de atac asupra podului WBTC
SCRIS DE
DISTRIBUIE
Puncte cheie:
- Volo Protocol a pierdut 3,5 milioane de dolari din trei seifuri bazate pe Sui pe 21 aprilie 2026, în urma compromiterii unei chei private de administrator.
- GoPlus Security și ExVul au confirmat o breșă de securitate a cheii de operator privilegiat, nu o vulnerabilitate în contractele inteligente auditate ale Volo.
- Volo a blocat încercarea atacatorului de a transfera 19,6 WBTC și acoperă toate pierderile, seifurile fiind înghețate până la finalizarea anchetei.
Breșă de securitate de 3,5 milioane de dolari la Protocolul Volo: Ce s-a întâmplat pe blockchain-ul Sui
Atacul a golit trei seifuri care conțineau bitcoin învelit (WBTC), activul tokenizat de aur XAUm de la Matrixdock și USDC. Analizele independente au estimat pierderile la aproximativ 2,1 milioane de dolari în WBTC, 0,9 milioane de dolari în XAUm și 0,5 milioane de dolari în USDC. Seifurile rămase, reprezentând aproximativ 28 de milioane de dolari în valoare totală blocată, nu au fost afectate și nu au prezentat nicio vulnerabilitate comună.
Echipa Volo a detectat rapid breșa de securitate. Echipa a înghețat toate seifurile, a notificat Fundația Sui și a început să colaboreze cu anchetatorii on-chain și cu partenerii din ecosistem pentru a urmări și recupera fondurile furate.
Într-o postare pe X, Volo a declarat că va absorbi întreaga pierdere fără a transfera costurile către deponenți. „Volo este pregătit să absoarbă această pierdere. Vom face tot posibilul să nu transferăm acest cost către utilizatorii noștri”, a scris echipa. S-a promis o analiză completă a incidentului odată ce ancheta se va încheia.
„Ne aflăm acum în modul de control al daunelor, dar odată ce acest lucru va fi finalizat, vom elabora un plan de remediere, iar o analiză completă va fi împărtășită în scurt timp”, a adăugat echipa.
În termen de 30 de minute de la anunțul inițial, Volo a raportat înghețarea a aproximativ 500.000 de dolari din activele furate prin colaborarea cu partenerii din ecosistem. A doua zi, pe 22 aprilie, echipa a confirmat că a interceptat și blocat încercarea atacatorului de a transfera 19,6 WBTC, în valoare de aproximativ 2,1 milioane de dolari. Aceste fonduri nu mai sunt sub controlul atacatorului.
Firmele de securitate Goplus Security, Exvul Security și Bitslab au publicat fiecare analize preliminare on-chain care indică o cheie de operator cu privilegii ridicate compromisă ca fiind cauza principală. Cercetătorii au identificat adresa atacatorului ca fiind 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, care a utilizat funcții precum withdraw_with_account_cap_v2 pentru a goli seifurile.
Goplus a atribuit compromiterea ingineriei sociale și tehnicilor de fraudă asociate care vizează contul de administrator al seifului. Nu a fost identificată nicio vulnerabilitate în codul de bază al contractului inteligent. Acest lucru plasează breșa într-o categorie de eșecuri de gestionare a cheilor, mai degrabă decât vulnerabilități la nivel de protocol.
Volo efectuase anterior audituri cu Ottersec, Movebit și Hacken și menținea un program activ de recompense pentru descoperirea de bug-uri la momentul exploatării. Toate seifurile rămân înghețate. Volo și partenerii săi lucrează activ pentru a returna WBTC-ul blocat către protocol. Un plan detaliat de remediere va însoți analiza post-mortem care va urma.
Atacul din aprilie 2026 asupra Volo a urmat breșei KelpDAO din 18 aprilie 2026. Pierderile cumulate DeFi la nivelul protocoalelor în aprilie 2026 au depășit 600 de milioane de dolari, conform unor estimări, reflectând un model de exploatări care vizează controalele de acces și gestionarea cheilor, mai degrabă decât codul on-chain.
Raport de incident: Llamarisk și furnizorii de servicii Aave oferă detalii despre atacul cibernetic asupra rsETH al Kelp pe piețele Ethereum și Arbitrum
O vulnerabilitate de tip „bridge” a dus la sustragerea a 116.500 rsETH din adaptorul OFT al Kelp pe 18 aprilie, expunând Aave V3 la pierderi potențiale de până la 230 de milioane de dolari. read more.
Citește acum
Raport de incident: Llamarisk și furnizorii de servicii Aave oferă detalii despre atacul cibernetic asupra rsETH al Kelp pe piețele Ethereum și Arbitrum
O vulnerabilitate de tip „bridge” a dus la sustragerea a 116.500 rsETH din adaptorul OFT al Kelp pe 18 aprilie, expunând Aave V3 la pierderi potențiale de până la 230 de milioane de dolari. read more.
Citește acumRaport de incident: Llamarisk și furnizorii de servicii Aave oferă detalii despre atacul cibernetic asupra rsETH al Kelp pe piețele Ethereum și Arbitrum
Citește acumO vulnerabilitate de tip „bridge” a dus la sustragerea a 116.500 rsETH din adaptorul OFT al Kelp pe 18 aprilie, expunând Aave V3 la pierderi potențiale de până la 230 de milioane de dolari. read more.
Deponenții din seifurile neafectate nu au raportat pierderi. Echipa Volo a îndrumat utilizatorii către contul oficial @volo_sui de pe X pentru actualizări în timp real, înainte de publicarea analizei complete post-mortem.
Incidentul se adaugă la un număr tot mai mare de platforme DeFi care se confruntă cu riscuri legate de gestionarea cheilor, în ciuda faptului că au trecut de auditurile formale, un model pe care cercetătorii în domeniul securității l-au semnalat în mod repetat în mai multe ecosisteme blockchain în 2025 și 2026.
