Протокол Volo втратив 3,5 мільйона доларів внаслідок зловживання в блокчейні Sui та заблокував спробу атаки на міст WBTC

Основні висновки:

• 21 квітня 2026 року Volo Protocol втратив 3,5 млн доларів з трьох сховищ на базі Sui внаслідок компрометації приватного ключа адміністратора.
• GoPlus Security та ExVul підтвердили порушення привілейованого ключа оператора, а не недолік в перевірених смарт-контрактах Volo.
• Volo заблокував спробу зловмисника перевести 19,6 WBTC через міст і покриває всі збитки, а сховища заморожено до завершення розслідування.

Порушення безпеки Volo Protocol на суму 3,5 млн доларів: що сталося на блокчейні Sui

В результаті атаки було викрадено кошти з трьох сховищ, що містили обгорнуті біткойни (WBTC), токенізовані золоті активи XAUm від Matrixdock та USDC. За незалежними оцінками, збитки склали приблизно 2,1 млн доларів у WBTC, 0,9 млн доларів у XAUm та 0,5 млн доларів у USDC. Решта сховищ, загальна заблокована вартість яких становить приблизно 28 млн доларів, не постраждали і не виявили спільних вразливостей.

Команда Volo швидко виявила злом. Команда заморозила всі сховища, повідомила про це Sui Foundation і почала співпрацювати з ончейн-слідчими та партнерами екосистеми, щоб відстежити та повернути вкрадені кошти.

У дописі на X Volo заявила, що покриє всі збитки, не перекладаючи витрати на вкладників. «Volo готова покрити ці збитки. Ми зробимо все можливе, щоб не перекладати їх на наших користувачів», — написала команда. Повний аналіз ситуації було обіцяно опублікувати після завершення розслідування.

«Зараз ми перебуваємо в режимі мінімізації збитків, але як тільки це буде зроблено, ми розробимо план виправлення ситуації, і повний звіт буде опубліковано найближчим часом», — додала команда.

Протягом 30 хвилин після першого оголошення Volo повідомила про заморожування приблизно 500 000 доларів викрадених активів завдяки співпраці з партнерами екосистеми. Наступного дня, 22 квітня, команда підтвердила, що перехопила та заблокувала спробу зловмисника вивести 19,6 WBTC на суму приблизно 2,1 мільйона доларів. Ці кошти більше не перебувають під контролем зловмисника.

Компанії з безпеки Goplus Security, Exvul Security та Bitslab опублікували попередні аналізи ланцюга, які вказують на скомпрометований ключ оператора з високими привілеями як основну причину. Дослідники ідентифікували адресу зловмисника як 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, яка використовувала функції, зокрема withdraw_with_account_cap_v2, для виведення коштів із сховищ.

Goplus пов'язав злом із соціальною інженерією та пов'язаними з нею методами шахрайства, спрямованими на адміністративний обліковий запис сховища. У коді основного смарт-контракту не було виявлено жодних недоліків. Це відносить злом до категорії помилок управління ключами, а не до вразливостей на рівні протоколу.

Раніше Volo пройшов аудити Ottersec, Movebit та Hacken і на момент експлойту підтримував активну програму винагороди за виявлення багів. Усі сховища залишаються замороженими. Volo та його партнери активно працюють над поверненням заблокованих WBTC до протоколу. Детальний план виправлення супроводжуватиме майбутній постмортем.

Атака на Volo у квітні 2026 року відбулася після злом KelpDAO 18 квітня 2026 року. За деякими оцінками, сукупні втрати DeFi по всіх протоколах у квітні 2026 року перевищили 600 мільйонів доларів, що відображає тенденцію атак, спрямованих на контроль доступу та управління ключами, а не на код ланцюга.

Вкладники в незачеплених сховищах не повідомляли про збитки. Команда Volo направила користувачів на офіційний акаунт @volo_sui в X для отримання оновлень у реальному часі до публікації повного аналізу інциденту.

Цей інцидент поповнює зростаючий список DeFi-платформ, які стикаються з ризиками управління ключами, незважаючи на проходження офіційних аудитів — тенденцію, на яку дослідники безпеки неодноразово вказували в різних екосистемах блокчейнів у 2025 та 2026 роках.