Volo Protocol, Sui blok zincirindeki bir güvenlik açığı nedeniyle 3,5 milyon dolar kaybetti; WBTC köprüsü saldırı girişimini engelledi

Önemli Noktalar:

• Volo Protocol, yönetici özel anahtarının ele geçirilmesinin ardından 21 Nisan 2026'da Sui tabanlı üç kasadan 3,5 milyon dolar kaybetti.
• GoPlus Security ve ExVul, Volo'nun denetlenmiş akıllı sözleşmelerindeki bir kusur değil, ayrıcalıklı operatör anahtarının ihlal edildiğini doğruladı.
• Volo, saldırganın 19,6 WBTC köprü kurma girişimini engelledi ve tüm kayıpları üstlenirken, kasalar olayın incelenmesi tamamlanana kadar donduruldu.

Volo Protocol'ün 3,5 Milyon Dolarlık Güvenlik İhlali: Sui Blok Zincirinde Neler Oldu

Saldırı, wrapped bitcoin (WBTC), Matrixdock'tan tokenize altın varlığı XAUm ve USDC'yi barındıran üç kasayı boşalttı. Bağımsız analizlere göre kayıplar yaklaşık 2,1 milyon dolar WBTC, 0,9 milyon dolar XAUm ve 0,5 milyon dolar USDC olarak belirlendi. Toplamda yaklaşık 28 milyon dolarlık kilitli değeri temsil eden geri kalan kasalar etkilenmedi ve ortak bir güvenlik açığı göstermedi.

Volo ekibi, ihlali hızlı bir şekilde tespit etti. Ekip, tüm kasaları dondurdu, Sui Vakfı'nı bilgilendirdi ve çalınan fonları takip etmek ve geri kazanmak için onchain araştırmacıları ve ekosistem ortaklarıyla çalışmaya başladı.

X'te yayınlanan bir gönderide Volo, maliyetleri mevduat sahiplerine yansıtmadan tüm zararı üstleneceğini belirtti. Ekip, "Volo bu zararı üstlenmeye hazır. Bunu kullanıcılarımıza yansıtmamak için elimizden geleni yapacağız," diye yazdı. Soruşturma sonuçlandığında kapsamlı bir değerlendirme raporu yayınlanacağı sözü verildi.

"Şu anda hasar kontrol modundayız, ancak bu tamamlandığında bir düzeltme planı hazırlayacağız ve kısa süre içinde tam bir döküm paylaşılacaktır," diye ekledi ekip.
İlk duyurudan 30 dakika sonra Volo, ekosistem ortaklarıyla işbirliği yaparak çalınan varlıkların yaklaşık 500.000 dolarını dondurduğunu bildirdi. Ertesi gün, 22 Nisan'da ekip, saldırganın yaklaşık 2,1 milyon dolar değerindeki 19,6 WBTC'yi köprüleme girişimini engellediğini ve bloke ettiğini doğruladı. Bu fonlar artık saldırganın kontrolü altında değil.

Güvenlik firmaları Goplus Security, Exvul Security ve Bitslab, her biri kök nedenin ele geçirilmiş yüksek ayrıcalıklı operatör anahtarı olduğuna işaret eden ön zincir analizleri yayınladı. Araştırmacılar, saldırganın adresini 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75 olarak belirledi; bu adres, kasaları boşaltmak için withdraw_with_account_cap_v2 gibi işlevleri kullanmıştı.

Goplus, bu ihlali, kasanın yönetici hesabını hedef alan sosyal mühendislik ve ilgili dolandırıcılık tekniklerine bağladı. Temel akıllı sözleşme kodunda herhangi bir kusur tespit edilmedi. Bu durum, ihlali protokol düzeyindeki güvenlik açıklarından ziyade anahtar yönetimi hataları kategorisine yerleştiriyor.

Volo, daha önce Ottersec, Movebit ve Hacken ile denetimler gerçekleştirmiş ve saldırı anında aktif bir hata ödül programı yürütüyordu. Tüm kasalar dondurulmuş durumda. Volo ve ortakları, bloke edilen WBTC'yi protokole iade etmek için aktif olarak çalışıyor. Yakında yayınlanacak olay sonrası analiz raporuna ayrıntılı bir düzeltme planı da eklenecek.

Volo'ya yönelik Nisan 2026 saldırısı, 18 Nisan 2026'daki KelpDAO ihlalinin ardından gerçekleşti. Bazı tahminlere göre, Nisan 2026'da protokoller genelinde biriken DeFi kayıpları 600 milyon doları aştı; bu durum, zincir üzerindeki koddan ziyade erişim kontrollerini ve anahtar yönetimini hedef alan istismarların bir örüntüsünü yansıtıyor.

Etkilenmeyen kasalardaki mevduat sahipleri herhangi bir kayıp bildirmedi. Volo ekibi, kapsamlı olay sonrası raporunun yayınlanmasından önce kullanıcıları gerçek zamanlı güncellemeler için X'teki resmi @volo_sui hesabına yönlendirdi.

Bu olay, resmi denetimlerden geçmelerine rağmen anahtar yönetimi riskleriyle karşı karşıya kalan DeFi platformlarının giderek artan sayısına ekleniyor. Bu durum, güvenlik araştırmacılarının 2025 ve 2026 yıllarında birçok blok zinciri ekosisteminde defalarca işaret ettiği bir örüntüdür.