Протокол Volo потерял 3,5 миллиона долларов в результате взлома блокчейна Sui и заблокировал попытку атаки на мост WBTC

Основные выводы:

• 21 апреля 2026 года Volo Protocol потерял 3,5 млн долларов из трех хранилищ на базе Sui в результате взлома закрытого ключа администратора.
• GoPlus Security и ExVul подтвердили утечку привилегированного ключа оператора, а не уязвимость в проверенных смарт-контрактах Volo.
• Volo заблокировала попытку злоумышленника перевести 19,6 WBTC через мост и берет на себя все убытки, а хранилища заморожены до завершения расследования.

Нарушение безопасности протокола Volo на сумму 3,5 млн долларов: что произошло на блокчейне Sui

В результате атаки были опустошены три хранилища, содержавшие обернутый биткоин (WBTC), токенизированный золотой актив XAUm от Matrixdock и USDC. По данным независимых оценок, убытки составили примерно 2,1 млн долларов в WBTC, 0,9 млн долларов в XAUm и 0,5 млн долларов в USDC. Остальные хранилища, представляющие собой примерно 28 млн долларов общей заблокированной стоимости, не пострадали и не продемонстрировали общей уязвимости.

Команда Volo быстро обнаружила взлом. Команда заморозила все хранилища, уведомила Sui Foundation и начала работать с ончейн-следователями и партнерами экосистемы, чтобы отследить и вернуть похищенные средства.

В посте на X Volo заявила, что покроет убытки в полном объеме, не перекладывая расходы на вкладчиков. «Volo готова покрыть этот убыток. Мы сделаем все возможное, чтобы не перекладывать его на наших пользователей», — написала команда. По завершении расследования было обещано полное расследование инцидента.

«Сейчас мы находимся в режиме минимизации ущерба, но как только это будет сделано, мы разработаем план устранения последствий, и в ближайшее время будет опубликован полный отчет», — добавила команда.

В течение 30 минут после первоначального объявления Volo сообщила о заморозке примерно 500 000 долларов украденных активов благодаря сотрудничеству с партнерами экосистемы. На следующий день, 22 апреля, команда подтвердила, что перехватила и заблокировала попытку злоумышленника вывести 19,6 WBTC на сумму около 2,1 млн долларов. Эти средства больше не находятся под контролем злоумышленника.

Компании по обеспечению безопасности Goplus Security, Exvul Security и Bitslab опубликовали предварительные анализы цепочки блоков, указывающие на скомпрометированный ключ оператора с высокими привилегиями как основную причину инцидента. Исследователи определили адрес злоумышленника как 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, который использовал такие функции, как withdraw_with_account_cap_v2, для опустошения хранилищ.

Goplus объяснил взлом социальной инженерией и связанными с ней методами мошенничества, направленными на учетную запись администратора хранилища. Не было обнаружено никаких уязвимостей в основном коде смарт-контракта. Это относит данное нарушение к категории сбоев в управлении ключами, а не к уязвимостям на уровне протокола.

Ранее Volo прошло аудиты Ottersec, Movebit и Hacken и на момент взлома осуществляло активную программу по поиску уязвимостей. Все хранилища остаются замороженными. Volo и его партнеры активно работают над возвращением заблокированных WBTC в протокол. Подробный план устранения уязвимостей будет представлен в предстоящем отчете по итогам инцидента.

Атака на Volo в апреле 2026 года последовала за взломом KelpDAO 18 апреля 2026 года. Совокупные потери DeFi по всем протоколам в апреле 2026 года, по некоторым оценкам, превысили 600 миллионов долларов, что отражает тенденцию атак, нацеленных на средства контроля доступа и управление ключами, а не на код в цепочке.

Вкладчики в незатронутых хранилищах не сообщали о потерях. Команда Volo направила пользователей на официальный аккаунт @volo_sui в X для получения обновлений в режиме реального времени до публикации полного отчета о расследовании.

Этот инцидент пополняет растущий список DeFi-платформ, сталкивающихся с рисками управления ключами, несмотря на прохождение формальных аудитов — тенденцию, на которую исследователи в области безопасности неоднократно обращали внимание в различных блокчейн-экосистемах в 2025 и 2026 годах.