Volo Protocol, một nền tảng staking linh hoạt và dịch vụ tài chính Bitcoin (BTCFi) trên blockchain Sui, đã xác nhận vụ vi phạm bảo mật trị giá 3,5 triệu USD trong tuần này, liên quan đến việc khóa riêng tư của quản trị viên kho lưu trữ bị xâm phạm.
Giao thức Volo bị mất 3,5 triệu USD do lỗ hổng trên blockchain Sui, đồng thời chặn nỗ lực tấn công cầu WBTC
TÁC GIẢ
CHIA SẺ
Điểm chính:
- Volo Protocol đã mất $3,5 triệu từ ba kho lưu trữ dựa trên Sui vào ngày 21 tháng 4 năm 2026, sau khi khóa riêng tư của quản trị viên bị xâm phạm.
- GoPlus Security và ExVul xác nhận đây là vụ vi phạm khóa điều hành đặc quyền, chứ không phải lỗi trong các hợp đồng thông minh đã được kiểm toán của Volo.
- Volo đã chặn nỗ lực chuyển 19,6 WBTC qua cầu nối của kẻ tấn công và đang chịu toàn bộ thiệt hại, với các kho tiền bị đóng băng trong khi chờ kết quả điều tra.
Vụ vi phạm an ninh trị giá 3,5 triệu đô la của Volo Protocol: Điều gì đã xảy ra trên blockchain Sui
Cuộc tấn công đã rút cạn ba kho chứa Bitcoin được bọc (WBTC), tài sản vàng token hóa XAUm từ Matrixdock và USDC. Các phân tích độc lập ước tính thiệt hại khoảng $2,1 triệu WBTC, $0,9 triệu XAUm và $0,5 triệu USDC. Các kho còn lại, đại diện cho tổng giá trị bị khóa khoảng $28 triệu, không bị ảnh hưởng và không có lỗ hổng chung.
Đội ngũ của Volo đã phát hiện sự cố này rất nhanh. Đội ngũ đã đóng băng tất cả các kho tiền, thông báo cho Sui Foundation và bắt đầu hợp tác với các nhà điều tra trên chuỗi và các đối tác trong hệ sinh thái để truy tìm và thu hồi số tiền bị đánh cắp.
Trong một bài đăng trên X, Volo tuyên bố sẽ tự chịu toàn bộ khoản lỗ mà không chuyển chi phí sang người gửi tiền. "Volo đã sẵn sàng chịu khoản lỗ này. Chúng tôi sẽ cố gắng hết sức để không chuyển gánh nặng này sang người dùng," đội ngũ viết. Một báo cáo phân tích sau sự cố đầy đủ sẽ được công bố sau khi cuộc điều tra kết thúc.
"Hiện tại chúng tôi đang trong chế độ kiểm soát thiệt hại, nhưng sau khi hoàn tất, chúng tôi sẽ xây dựng kế hoạch khắc phục và sẽ chia sẻ chi tiết đầy đủ trong thời gian sớm nhất," đội ngũ bổ sung.
Trong vòng 30 phút sau thông báo ban đầu, Volo báo cáo đã đóng băng khoảng $500.000 tài sản bị đánh cắp thông qua hợp tác với các đối tác trong hệ sinh thái. Ngày hôm sau, vào ngày 22 tháng 4, nhóm xác nhận đã chặn và ngăn chặn nỗ lực của kẻ tấn công trong việc chuyển 19,6 WBTC, trị giá khoảng $2,1 triệu. Số tiền này hiện không còn nằm dưới sự kiểm soát của kẻ tấn công.
Các công ty an ninh Goplus Security, Exvul Security và Bitslab đã công bố các phân tích sơ bộ trên chuỗi, chỉ ra rằng nguyên nhân gốc rễ là do khóa vận hành có quyền truy cập cao bị xâm phạm. Các nhà nghiên cứu đã xác định địa chỉ của kẻ tấn công là 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75, địa chỉ này đã sử dụng các hàm bao gồm withdraw_with_account_cap_v2 để rút cạn các kho tiền.
Goplus cho rằng vụ tấn công này xuất phát từ các kỹ thuật lừa đảo và công trình xã hội nhắm vào tài khoản quản trị của kho tiền. Không phát hiện ra lỗ hổng nào trong mã hợp đồng thông minh cốt lõi. Điều này khiến vụ vi phạm thuộc về loại thất bại trong quản lý khóa thay vì lỗ hổng ở cấp độ giao thức.
Volo trước đó đã hoàn tất các cuộc kiểm toán với Ottersec, Movebit và Hacken, đồng thời duy trì chương trình thưởng lỗi (bug bounty) đang hoạt động tại thời điểm vụ tấn công xảy ra. Tất cả các kho tiền vẫn bị đóng băng. Volo và các đối tác đang tích cực làm việc để trả lại WBTC bị khóa cho giao thức. Một kế hoạch khắc phục chi tiết sẽ được đính kèm trong báo cáo sau sự cố sắp tới.
Vụ tấn công vào Volo vào tháng 4 năm 2026 diễn ra sau vụ vi phạm KelpDAO vào ngày 18 tháng 4 năm 2026. Tổng thiệt hại DeFi trên các giao thức trong tháng 4 năm 2026 đã vượt quá $600 triệu theo một số ước tính, phản ánh xu hướng các vụ khai thác nhắm vào kiểm soát truy cập và quản lý khóa thay vì mã nguồn trên chuỗi.
Báo cáo sự cố: Llamarisk và các nhà cung cấp dịch vụ Aave tiết lộ chi tiết vụ tấn công rsETH trên các thị trường Ethereum và Arbitrum
Một lỗ hổng bảo mật trên cầu giao dịch đã khiến 116.500 rsETH bị rút khỏi bộ điều hợp OFT của Kelp vào ngày 18 tháng 4, khiến Aave V3 phải đối mặt với rủi ro nợ xấu tiềm ẩn… read more.
Đọc ngay
Báo cáo sự cố: Llamarisk và các nhà cung cấp dịch vụ Aave tiết lộ chi tiết vụ tấn công rsETH trên các thị trường Ethereum và Arbitrum
Một lỗ hổng bảo mật trên cầu giao dịch đã khiến 116.500 rsETH bị rút khỏi bộ điều hợp OFT của Kelp vào ngày 18 tháng 4, khiến Aave V3 phải đối mặt với rủi ro nợ xấu tiềm ẩn… read more.
Đọc ngayBáo cáo sự cố: Llamarisk và các nhà cung cấp dịch vụ Aave tiết lộ chi tiết vụ tấn công rsETH trên các thị trường Ethereum và Arbitrum
Đọc ngayMột lỗ hổng bảo mật trên cầu giao dịch đã khiến 116.500 rsETH bị rút khỏi bộ điều hợp OFT của Kelp vào ngày 18 tháng 4, khiến Aave V3 phải đối mặt với rủi ro nợ xấu tiềm ẩn… read more.
Những người gửi tiền vào các kho tiền không bị ảnh hưởng chưa báo cáo về bất kỳ khoản lỗ nào. Đội ngũ của Volo đã hướng dẫn người dùng theo dõi tài khoản chính thức @volo_sui trên X để cập nhật thông tin theo thời gian thực trước khi báo cáo phân tích sau sự cố được công bố đầy đủ.
Sự cố này góp phần vào danh sách ngày càng dài các nền tảng DeFi phải đối mặt với rủi ro quản lý khóa mặc dù đã vượt qua các cuộc kiểm toán chính thức, một xu hướng mà các nhà nghiên cứu bảo mật đã nhiều lần cảnh báo trên nhiều hệ sinh thái blockchain trong năm 2025 và 2026.
