Protokol Volo prišiel o 3,5 milióna dolárov v dôsledku zneužitia v blockchainu Sui a zablokoval pokus o prepojenie s WBTC

Kľúčové body:

• Volo Protocol prišiel 21. apríla 2026 o 3,5 milióna dolárov z troch trezorov na platforme Sui v dôsledku kompromitácie súkromného kľúča správcu.
• Spoločnosti GoPlus Security a ExVul potvrdili narušenie privilegovaného kľúča operátora, nie chybu v auditovaných inteligentných zmluvách Volo.
• Volo zablokovalo pokus útočníka o most 19,6 WBTC a znáša všetky straty, pričom trezory sú zmrazené do vykonania následnej analýzy.

Bezpečnostné narušenie protokolu Volo v hodnote 3,5 milióna dolárov: Čo sa stalo na blockchainu Sui

Útok vyprázdnil tri trezory obsahujúce zabalené bitcoiny (WBTC), tokenizované zlaté aktíva XAUm od Matrixdock a USDC. Nezávislé analýzy odhadli straty na približne 2,1 milióna USD v WBTC, 0,9 milióna USD v XAUm a 0,5 milióna USD v USDC. Zostávajúce trezory, ktoré predstavujú celkovú hodnotu približne 28 miliónov USD, neboli ovplyvnené a nevykazovali žiadnu spoločnú zraniteľnosť.

Tím Volo rýchlo zistil narušenie bezpečnosti. Tím zmrazil všetky trezory, informoval nadáciu Sui a začal spolupracovať s vyšetrovateľmi onchain a partnermi v ekosystéme na vystopovaní a získaní späť ukradnutých prostriedkov.

V príspevku na X spoločnosť Volo uviedla, že pokryje celú stratu bez prenesenia nákladov na vkladateľov. „Spoločnosť Volo je pripravená túto stratu pokryť. Urobíme všetko pre to, aby sme ju nepreniesli na našich používateľov,“ napísal tím. Po ukončení vyšetrovania bola sľúbená úplná analýza situácie.

„Teraz sme v režime obmedzovania škôd, ale akonáhle to bude hotové, vypracujeme plán nápravy a čoskoro zverejníme úplný rozpis,“ dodal tím.

Do 30 minút od prvého oznámenia Volo informovalo, že v spolupráci s partnermi v ekosystéme zmrazilo približne 500 000 USD z odcudzených aktív. Nasledujúci deň, 22. apríla, tím potvrdil, že zachytil a zablokoval pokus útočníka o presun 19,6 WBTC v hodnote približne 2,1 milióna dolárov. Tieto prostriedky už nie sú pod kontrolou útočníka.
Bezpečnostné firmy Goplus Security, Exvul Security a Bitslab zverejnili predbežné analýzy reťazca, ktoré ako hlavnú príčinu uvádzajú kompromitovaný kľúč operátora s vysokými oprávneniami. Výskumníci identifikovali adresu útočníka ako 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, ktorá na vyprázdnenie trezorov použila funkcie vrátane withdraw_with_account_cap_v2.

Spoločnosť Goplus pripísala kompromitáciu sociálnemu inžinierstvu a súvisiacim podvodným technikám zameraným na administrátorský účet trezoru. Nebola identifikovaná žiadna chyba v kóde základného inteligentného kontraktu. Tým sa tento útok zaraďuje do kategórie zlyhaní správy kľúčov, a nie do kategórie zraniteľností na úrovni protokolu.

Volo predtým absolvovalo audity s Ottersec, Movebit a Hacken a v čase zneužitia malo aktívny program odmeňovania za nájdenie chýb. Všetky trezory zostávajú zmrazené. Volo a jeho partneri aktívne pracujú na vrátení zablokovaných WBTC do protokolu. Podrobný plán nápravy bude súčasťou nadchádzajúcej analýzy.

Útok na Volo v apríli 2026 nasledoval po narušení KelpDAO 18. apríla 2026. Kumulatívne straty DeFi naprieč protokolmi v apríli 2026 podľa niektorých odhadov presiahli 600 miliónov dolárov, čo odzrkadľuje vzorec útokov zameraných skôr na kontrolu prístupu a správu kľúčov než na kód v reťazci.

Vkladatelia v nezasiahnutých trezoroch nehlásili žiadne straty. Tím Volo nasmeroval používateľov na oficiálny účet @volo_sui na X, kde môžu získať aktualizácie v reálnom čase ešte pred zverejnením úplnej analýzy.

Tento incident sa pridáva k rastúcemu počtu prípadov platforiem DeFi, ktoré čelia rizikám spojeným so správou kľúčov napriek tomu, že prešli formálnymi auditmi, čo je trend, na ktorý bezpečnostní výskumníci opakovane upozorňovali v rôznych blockchainových ekosystémoch v rokoch 2025 a 2026.