Volo Protocol förlorar 3,5 miljoner dollar i en säkerhetslucka i Sui-blockkedjan och stoppar försök att överbrygga WBTC

Huvudpunkter:

• Volo Protocol förlorade 3,5 miljoner dollar från tre Sui-baserade valv den 21 april 2026, efter att en privat administratörsnyckel komprometterats.
• GoPlus Security och ExVul bekräftade ett intrång i en privilegierad operatörsnyckel, inte en brist i Volos granskade smarta kontrakt.
• Volo blockerade angriparens försök att överföra 19,6 WBTC och täcker alla förluster, samtidigt som valv har frysts i väntan på en efteranalys.

Volo Protocol – säkerhetsintrång på 3,5 miljoner dollar: Vad hände på Sui-blockkedjan

Attacken tömde tre valv som innehöll wrapped bitcoin (WBTC), den tokeniserade guldtillgången XAUm från Matrixdock och USDC. Oberoende uppskattningar satte förlusterna till cirka 2,1 miljoner dollar i WBTC, 0,9 miljoner dollar i XAUm och 0,5 miljoner dollar i USDC. De återstående valven, som representerade ungefär 28 miljoner dollar i totalt låst värde, påverkades inte och visade inga gemensamma sårbarheter.

Volos team upptäckte intrånget snabbt. Teamet frös alla valv, underrättade Sui Foundation och började samarbeta med onchain-utredare och ekosystempartners för att spåra och återfå de stulna medlen.

I ett inlägg på X uppgav Volo att man skulle täcka hela förlusten utan att föra över kostnaderna till insättarna. ”Volo är berett att täcka denna förlust. Vi kommer att göra vårt bästa för att inte föra över detta till våra användare”, skrev teamet. En fullständig utredning utlovades när undersökningen är avslutad.

”Vi är nu i skadebegränsningsläge, men när det är klart kommer vi att utarbeta en åtgärdsplan, och en fullständig redogörelse kommer att delas inom kort”, tillade teamet.

Inom 30 minuter efter det första meddelandet rapporterade Volo att man fryst cirka 500 000 dollar av de stulna tillgångarna genom samarbete med ekosystempartners. Följande dag, den 22 april, bekräftade teamet att det hade avlyssnat och blockerat angriparens försök att överföra 19,6 WBTC, värda cirka 2,1 miljoner dollar. Dessa medel är inte längre under angriparens kontroll.

Säkerhetsföretagen Goplus Security, Exvul Security och Bitslab publicerade var och en preliminära on-chain-analyser som pekade på en komprometterad operatörsnyckel med höga behörigheter som den grundläggande orsaken. Forskare identifierade angriparens adress som 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, som använde funktioner som withdraw_with_account_cap_v2 för att tömma valven.

Goplus tillskrev intrånget social manipulation och relaterade bedrägeritekniker riktade mot valvets administratörskonto. Ingen brist i kärnkoden för smarta kontrakt identifierades. Detta placerar intrånget i kategorin fel i nyckelhanteringen snarare än sårbarheter på protokollnivå.

Volo hade tidigare genomfört revisioner med Ottersec, Movebit och Hacken och hade ett aktivt bug bounty-program vid tidpunkten för exploateringen. Alla valv förblir frysta. Volo och dess partners arbetar aktivt för att återföra de blockerade WBTC till protokollet. En detaljerad åtgärdsplan kommer att bifogas den kommande efteranalysen.

Attacken mot Volo i april 2026 följde på intrånget i KelpDAO den 18 april 2026. De sammanlagda DeFi-förlusterna över olika protokoll i april 2026 har enligt vissa uppskattningar överstigit 600 miljoner dollar, vilket speglar ett mönster av utnyttjanden som riktar sig mot åtkomstkontroller och nyckelhantering snarare än kod på blockkedjan.

Insättare i opåverkade valv har inte rapporterat några förluster. Volos team har hänvisat användare till det officiella @volo_sui-kontot på X för uppdateringar i realtid inför publiceringen av den fullständiga efteranalysen.

Incidenten bidrar till en växande lista över DeFi-plattformar som står inför nyckelhanteringsrisker trots att de har klarat formella revisioner, ett mönster som säkerhetsforskare upprepade gånger har flaggat för i flera blockkedjeekosystem under 2025 och 2026.