Kinumpirma ng Volo Protocol, isang liquid staking at BTCFi platform sa Sui blockchain, ang isang $3.5 milyong security exploit ngayong linggo, na may kaugnayan sa nakompromisong private key ng vault admin.
Nawalan ang Volo Protocol ng $3.5 Milyon sa Pagsasamantala sa Sui Blockchain, Hinarang ang Pagtatangkang I-bridge ang WBTC
ISINULAT NI
IBAHAGI
Mahahalagang Puntos:
- Nawalan ang Volo Protocol ng $3.5 milyon mula sa tatlong Sui-based na vault noong Abril 21, 2026, matapos makompromiso ang admin private key.
- Kinumpirma ng GoPlus Security at ExVul ang paglabag sa isang privileged operator key, hindi isang depekto sa mga na-audit na smart contract ng Volo.
- Hinarang ng Volo ang pagtatangka ng attacker na mag-bridge ng 19.6 WBTC at sinasalo ang lahat ng pagkalugi, habang naka-freeze ang mga vaults habang hinihintay ang post-mortem.
Volo Protocol $3.5M Security Breach: Ano ang Nangyari sa Sui Blockchain
Ang pag-atake ay nag-drain ng tatlong vault na may hawak na wrapped bitcoin (WBTC), tokenized gold asset na XAUm mula sa Matrixdock, at USDC. Ipinakita ng mga independent na breakdown na ang pagkalugi ay humigit-kumulang $2.1 milyon sa WBTC, $0.9 milyon sa XAUm, at $0.5 milyon sa USDC. Ang natitirang mga vault, na kumakatawan sa humigit-kumulang $28 milyon sa kabuuang total value locked, ay hindi naapektuhan at walang ipinakitang iisang kahinaang pare-pareho.
Mabilis na natukoy ng team ng Volo ang paglabag. Naka-freeze ang lahat ng vaults, inabisuhan ang Sui Foundation, at nagsimulang makipagtulungan sa mga onchain investigator at mga partner sa ecosystem upang masubaybayan at mabawi ang ninakaw na pondo.
Sa isang post sa X, sinabi ng Volo na sasaluhin nito ang buong pagkalugi nang hindi ipinapasa ang gastos sa mga depositor. “Handa ang Volo na saluhin ang pagkaluging ito. Gagawin namin ang aming makakaya na huwag itong ipasa sa aming mga user,” isinulat ng team. Nangako ng isang kumpletong post-mortem kapag natapos na ang imbestigasyon.
“Nasa damage control mode kami ngayon, ngunit kapag natapos iyon, gagawa kami ng remediation plan, at magbabahagi kami ng isang buong breakdown sa lalong madaling panahon,” dagdag ng team.
Sa loob ng 30 minuto mula sa unang anunsyo, iniulat ng Volo ang pag-freeze ng humigit-kumulang $500,000 ng mga ninakaw na asset sa pamamagitan ng pakikipagtulungan sa mga partner sa ecosystem. Kinabukasan, noong Abril 22, kinumpirma ng team na nasabat at naharang nito ang pagtatangka ng attacker na i-bridge palabas ang 19.6 WBTC, na nagkakahalaga ng humigit-kumulang $2.1 milyon. Ang mga pondong iyon ay wala na sa kontrol ng attacker.
Ang mga security firm na Goplus Security, Exvul Security, at Bitslab ay bawat isa naglabas ng paunang on-chain analyses na tumuturo sa isang nakompromisong high-privilege operator key bilang ugat na sanhi. Tinukoy ng mga researcher ang address ng attacker bilang 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, na gumamit ng mga function kabilang ang withdraw_with_account_cap_v2 upang i-drain ang mga vault.
Iniugnay ng Goplus ang kompromiso sa social engineering at mga kaugnay na teknik ng panlilinlang na tumatarget sa admin account ng vault. Walang natukoy na depekto sa pangunahing smart contract code. Inilalagay nito ang paglabag sa kategorya ng mga pagkabigo sa key management sa halip na mga kahinaan sa antas ng protocol.
Dati nang nakumpleto ng Volo ang mga audit kasama ang Ottersec, Movebit, at Hacken, at nagpapanatili ng aktibong bug bounty program noong panahon ng exploit. Nananatiling naka-freeze ang lahat ng vault. Aktibong nagtatrabaho ang Volo at ang mga partner nito upang maibalik ang naharang na WBTC sa protocol. Sasamahan ng isang detalyadong remediation plan ang paparating na post-mortem.
Ang pag-atake noong Abril 2026 sa Volo ay sumunod sa paglabag sa KelpDAO noong Abril 18, 2026. Ang pinagsama-samang pagkalugi sa DeFi sa iba’t ibang protocol noong Abril 2026 ay lumampas na sa $600 milyon ayon sa ilang pagtatantiya, na sumasalamin sa isang pattern ng mga exploit na tumatarget sa access controls at key management sa halip na sa onchain code.
Ulat ng Insidente: Ibinahagi ng Llamarisk, mga Tagapagbigay ng Serbisyo ng Aave ang mga Detalye ng Kelp rsETH Hack sa mga Merkado ng Ethereum at Arbitrum
Isang bridge exploit ang nag-drain ng 116,500 rsETH mula sa OFT adapter ng Kelp noong Abril 18, na naglantad sa Aave V3 sa hanggang $230M na potensyal na bad debt. read more.
Basahin ngayon
Ulat ng Insidente: Ibinahagi ng Llamarisk, mga Tagapagbigay ng Serbisyo ng Aave ang mga Detalye ng Kelp rsETH Hack sa mga Merkado ng Ethereum at Arbitrum
Isang bridge exploit ang nag-drain ng 116,500 rsETH mula sa OFT adapter ng Kelp noong Abril 18, na naglantad sa Aave V3 sa hanggang $230M na potensyal na bad debt. read more.
Basahin ngayonUlat ng Insidente: Ibinahagi ng Llamarisk, mga Tagapagbigay ng Serbisyo ng Aave ang mga Detalye ng Kelp rsETH Hack sa mga Merkado ng Ethereum at Arbitrum
Basahin ngayonIsang bridge exploit ang nag-drain ng 116,500 rsETH mula sa OFT adapter ng Kelp noong Abril 18, na naglantad sa Aave V3 sa hanggang $230M na potensyal na bad debt. read more.
Ang mga depositor sa mga hindi naapektuhang vault ay walang naiulat na pagkalugi. Itinuro ng team ng Volo ang mga user sa opisyal na @volo_sui account sa X para sa mga real-time na update bago ang paglalathala ng buong post-mortem.
Dinadagdag ng insidenteng ito sa lumalaking tala ng mga DeFi platform na nahaharap sa mga panganib sa key management sa kabila ng pagkapasa sa mga pormal na audit, isang pattern na paulit-ulit nang binigyang-babala ng mga security researcher sa iba’t ibang blockchain ecosystem noong 2025 at 2026.
