Sui-pohjainen likvidi panostusalusta Volo Protocol ilmoitti keskiviikkona, että hyökkääjä tyhjensi noin 3,5 miljoonan dollarin edestä varoja kolmesta sen holvista. Tämä on uusin DeFi-tietoturvaloukkaus kuukautena, jota ovat jo koetelleet satojen miljoonien dollarien hyväksikäytöt.
Volo jäädytti kaikki holvit havaittuaan hyökkäyksen ja ilmoitti asiasta Sui Foundationille. Varastettuihin omaisuuksiin kuuluivat Wrapped Bitcoin (WBTC), kullalla tuettu XAUm sekä USD Coin (USDC). Tiimin mukaan muiden holvien jäljellä olevat 28 miljoonaa dollaria eivät ole alttiina samalle hyökkäysreikälle.
Volo Protocolin hyväksikäytön yksityiskohdat
Volo kuvasi tapausta tietoturvaloukkaukseksi tiedotteessaan, joka julkaistiin X:ssä aikaisin keskiviikkona. Vain kolme holvia joutui hyökkäyksen kohteeksi, eikä mikään muu osa protokollasta jaa tätä haavoittuvuutta.
Hanke tekee yhteistyötä on-chain-tutkijoiden ja ekosysteemikumppaneiden kanssa jäljittääkseen ja palauttaakseen varastetut varat. Täydellinen analyysi julkaistaan sisäisen tarkastuksen päätyttyä.
Alun perin Volo lanseerattiin omistautuneeksi SUI:n likvidiksi panostusalustaksi, joka laski liikkeelle Volo Staked SUI (vSUI) -tokenin. Myöhemmin Sui-lainausalusta NAVI osti projektin alkuvuodesta 2024. Tämän tapauksen kohteena olleet holvipalvelut toimivat tuon panostuskerroksen päällä ja ottavat vakuudeksi paketoituja omaisuuksia ja stablecoineja tuottostrategioita varten.
Volo myös rauhoitteli käyttäjiä, ettei mahdollisia tappioita siirretä heidän niskoilleen.
“Volo on valmis ottamaan tämän tappion omille harteilleen. Teemme parhaamme, ettei käyttäjille koidu tästä vahinkoa”, Volo-tiimi totesi.
Protokolla ilmoitti, että korjaussuunnitelma seuraa, kun vahinkojen hallinta on valmis. Käyttäjien luottamuksen palauttaminen riippuu kuitenkin teoista, ei lupauksista.
Uusin isku rankassa DeFi-kuukaudessa
Volon tappiot seuraavat sarjaa suuria huhtikuun tapauksia, jotka ovat koetelleet hajautettua rahoitusta. Solanan Drift Protocol menetti noin 285 miljoonaa dollaria 1. huhtikuuta. Elliptic yhdisti hyökkäyksen epäiltyyn pohjoiskorealaiseen operaation.
Alle kolme viikkoa myöhemmin restaking-protokolla Kelp DAO:lta vietiin 116 500 restakattyä etheriä (rsETH) noin 292 miljoonan dollarin arvosta. Tämä tapahtui kompromissin LayerZero-sillan kautta. Ethereum DeFi on tämän jälkeen menettänyt yli 17 % kokonaisarvostaan.
Myös Balancer menetti yli 128 miljoonaa dollaria hyväksikäytön seurauksena aiemmin tänä vuonna. Yksi yksittäinen sijoittaja menetti lompakon tyhjennyksessä yli 280 miljoonaa dollaria Ethereumin ja Arbitrumin verkostoissa.
Sui-ekosysteemi on kohdannut vastaavia kriisejä aiemminkin. Hyökkääjät veivät Cetus-pörssistä noin 223 miljoonaa dollaria toukokuussa 2025. Virhe tiivistetyissä likviditeettialtaissa mahdollisti hyökkäyksen. Sui-validaattorit ja yhteisö saivat palautettua suurimman osan varoista. Suin lukittujen varojen kokonaisarvo ylitti 2,6 miljardia dollaria loppuvuodesta 2025. Kasvu toi mukanaan uusia hyökkäysmahdollisuuksia hyväksikäyttäjille. Nyt hyökkäykset kohdistuvat useammin holvilogiikkaan ja orakkeliriippuvuuksiin.
Volo lupaa kattaa 3,5 miljoonan dollarin tappion ilman ulkopuolista apua. Tallettajat seuraavat tarkasti, kun nostot avataan uudelleen. Jälkiselvitys paljastaa syyn juurisyyn. Samalla selviää, oliko virhe yksittäinen vai järjestelmätason ongelma. Löydökset voivat vaikuttaa luottamukseen Sui DeFi -ekosysteemiin.
