Volo Protocol 在 Sui 区块链漏洞攻击中损失 350 万美元，并阻止了 WBTC 桥接尝试

• 2026年4月21日，由于管理员私钥遭泄露，Volo Protocol 旗下三个基于 Sui 的金库损失了 350 万美元。
• GoPlus Security 和 ExVul 确认此次事件系特权操作密钥遭泄露所致，而非 Volo 已通过审计的智能合约存在漏洞。
• Volo 已阻止攻击者尝试将 19.6 WBTC 转出，并将承担全部损失，相关金库在完成事后分析前已被冻结。

Volo Protocol 350万美元安全漏洞：Sui区块链上发生了什么

此次攻击清空了三个金库，其中分别存有包装比特币（WBTC）、Matrixdock发行的代币化黄金资产XAUm以及USDC。据独立分析，损失金额约为210万美元的WBTC、90万美元的XAUm以及50万美元的USDC。其余金库（总锁定价值约2800万美元）未受影响，且未发现存在共同漏洞。

Volo团队迅速发现了此次入侵。团队冻结了所有金库，通知了Sui基金会，并开始与链上调查人员及生态系统合作伙伴合作，追踪并追回被盗资金。

Volo在X平台的一篇帖子中表示，将全额承担损失，不会将成本转嫁给存币者。团队写道：“Volo已做好承担此次损失的准备。我们将尽最大努力不让用户承担这笔损失。”团队承诺，一旦调查结束，将发布完整的事件回顾报告。

“我们目前正处于损害控制阶段，但一旦完成，我们将制定补救方案，并很快分享详细情况，”团队补充道。 在首次公告发布后的30分钟内，Volo报告称通过与生态系统合作伙伴的合作，已冻结了约50万美元的被盗资产。 次日（4月22日），团队确认已拦截并阻止了攻击者试图将价值约210万美元的19.6 WBTC跨链转出的企图。这些资金已不再受攻击者控制。 安全公司Goplus Security、Exvul Security和Bitslab分别发布了初步的链上分析报告，指出高权限操作员密钥遭泄露是此次事件的根本原因。 研究人员确认攻击者的地址为 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75，该地址利用了包括 withdraw_with_account_cap_v2 在内的函数来清空金库。

Goplus将此次安全事件归因于针对金库管理员账户的社会工程学攻击及相关欺诈手段。未发现核心智能合约代码存在缺陷。这表明此次安全事件属于密钥管理失误，而非协议层面的漏洞。

Volo此前已通过Ottersec、Movebit和Hacken完成了审计，且在此次攻击发生时仍维持着活跃的漏洞赏金计划。所有金库目前均处于冻结状态。Volo及其合作伙伴正积极努力将受阻的WBTC归还给协议。详细的补救计划将随即将发布的事件回顾报告一并公布。

此次针对 Volo 的攻击发生于 2026 年 4 月，紧随 2026 年 4 月 18 日 KelpDAO 遭入侵事件之后。据部分估计，2026 年 4 月各协议累计 DeFi 损失已超过 6 亿美元，这反映出当前攻击模式主要针对访问控制和密钥管理，而非链上代码。

未受影响金库的存入者尚未报告损失。在完整事后分析报告发布前，Volo团队已引导用户关注X平台上的官方账号@volo_sui以获取实时更新。

此次事件进一步印证了DeFi平台面临密钥管理风险的日益增长的记录，尽管这些平台已通过正式审计。2025年和2026年间，安全研究人员已在多个区块链生态系统中多次指出这一模式。