Protokol Volo je zaradi zlorabe v verigi Sui izgubil 3,5 milijona dolarjev in preprečil poskus vzpostavitve mostu WBTC

Ključne ugotovitve:

• Volo Protocol je 21. aprila 2026 izgubil 3,5 milijona dolarjev iz treh trezorjev na platformi Sui zaradi ogroženega zasebnega ključa administratorja.
• GoPlus Security in ExVul sta potrdila kršitev privilegiranega operaterskega ključa, ne pa napako v revidiranih pametnih pogodbah Volo.
• Volo je blokiral poskus napadalca za most 19,6 WBTC in prevzema vse izgube, trezorji pa so zamrznjeni do zaključka preiskave.

Varnostna kršitev protokola Volo v višini 3,5 milijona dolarjev: kaj se je zgodilo na blok verigi Sui

Napad je izpraznil tri trezorje, v katerih so bili shranjeni zaviti bitcoini (WBTC), tokenizirano zlato sredstvo XAUm iz Matrixdock in USDC. Neodvisne analize so izgube ocenile na približno 2,1 milijona dolarjev v WBTC, 0,9 milijona dolarjev v XAUm in 0,5 milijona dolarjev v USDC. Preostali trezorji, ki predstavljajo skupno vrednost v višini približno 28 milijonov dolarjev, niso bili prizadeti in niso pokazali nobene skupne ranljivosti.

Ekipa Volo je kršitev hitro odkrila. Ekipa je zamrznila vse trezorje, obvestila Sui Foundation in začela sodelovati z onchain preiskovalci in partnerji v ekosistemu, da bi sledila in izterjala ukradena sredstva.

V objavi na X je Volo navedel, da bo prevzel celotno izgubo, ne da bi stroške prenesel na vlagatelje. »Volo je pripravljen prevzeti to izgubo. Storili bomo vse, kar je v naši moči, da tega ne prenesemo na naše uporabnike,« je zapisala ekipa. Ob koncu preiskave je bila obljubljena celovita analiza dogodka.

»Trenutno smo v fazi omejevanja škode, ko pa bo to končano, bomo pripravili načrt za sanacijo, podrobnosti pa bomo kmalu objavili,« je dodala ekipa.

V 30 minutah po prvotni objavi je Volo poročal, da je v sodelovanju s partnerji v ekosistemu zamrznil približno 500.000 dolarjev ukradenih sredstev. Naslednji dan, 22. aprila, je ekipa potrdila, da je prestregla in blokirala poskus napadalca, da bi prenesel 19,6 WBTC v vrednosti približno 2,1 milijona dolarjev. Ta sredstva niso več pod nadzorom napadalca.
Varnostna podjetja Goplus Security, Exvul Security in Bitslab so vsako objavila predhodne analize verige, ki kot glavni vzrok navajajo ogrožen ključ operaterja z visokimi privilegiji. Raziskovalci so naslov napadalca identificirali kot 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, ki je za izpraznitev trezorjev uporabil funkcije, vključno z withdraw_with_account_cap_v2.

Goplus je napad pripisal socialnemu inženirstvu in sorodnim goljufivim tehnikam, usmerjenim v administrativni račun trezorja. V jedrni kodi pametne pogodbe ni bila ugotovljena nobena pomanjkljivost. To uvršča kršitev v kategorijo napak pri upravljanju ključev in ne v ranljivosti na ravni protokola.

Volo je pred tem opravil revizije z Ottersec, Movebit in Hacken ter v času izkoriščanja ranljivosti vzdrževal aktiven program nagrajevanja za odkritje napak. Vsi trezorji ostajajo zamrznjeni. Volo in njegovi partnerji aktivno delajo na vrnitvi blokiranega WBTC v protokol. Podroben načrt sanacije bo priložen prihajajoči analizi dogodka.

Napad na Volo aprila 2026 je sledil kršitvi KelpDAO 18. aprila 2026. Skupne izgube DeFi v vseh protokolih aprila 2026 so po nekaterih ocenah presegle 600 milijonov dolarjev, kar odraža vzorec izkoriščanj, usmerjenih v nadzor dostopa in upravljanje ključev, ne pa v kodo v verigi.

Vlagatelji v neprizadetih trezorjih niso poročali o izgubah. Ekipa Volo je uporabnike napotila na uradni račun @volo_sui na X za posodobitve v realnem času pred objavo celotne analize.

Incident se pridružuje naraščajočemu številu primerov platform DeFi, ki se soočajo s tveganji pri upravljanju ključev kljub opravljenim formalnim revizijam, kar je vzorec, na katerega so varnostni raziskovalci večkrat opozorili v več ekosistemih blockchaina v letih 2025 in 2026.