Platforma do płynnego stakingu oparta na Sui, Volo Protocol, poinformowała w środę, że atakujący wyprowadził około 3,5 mln USD z trzech jej skarbców. To najnowsze naruszenie bezpieczeństwa DeFi w miesiącu, w którym już doszło do ataków sięgających setek milionów USD.
Volo zamroził wszystkie skarbce po wykryciu ataku i powiadomił Sui Foundation. Skradzione aktywa obejmowały Wrapped Bitcoin (WBTC), XAUm zabezpieczony złotem oraz USD Coin (USDC). Zespół poinformował, że pozostałe 28 mln USD łącznej wartości zablokowanej w innych skarbcach nie jest zagrożone wspólnym wektorem ataku.
Szczegóły ataku na Volo Protocol
Volo opisał naruszenie jako incydent związany z bezpieczeństwem w oświadczeniu opublikowanym na X w środę rano. Tylko trzy skarbce ucierpiały, a zespół zapewnił, że żaden inny element protokołu nie posiada takiej samej podatności.
Projekt współpracuje z analitykami on-chain i partnerami ekosystemu, by namierzyć i odzyskać skradzione środki. Po zakończeniu wewnętrznego audytu pojawi się pełna analiza przyczyn ataku.
Volo początkowo powstał jako dedykowana platforma do płynnego stakingu SUI, która wydawała token Volo Staked SUI (vSUI), zanim wczesną wiosną 2024 roku przejął ją protokół pożyczkowy Sui NAVI. Skarbce objęte tym atakiem mają warstwę stakingową i przyjmują aktywa opakowane oraz stablecoiny jako zabezpieczenie strategii przynoszących zyski.
Volo podkreślił, że użytkownicy nie poniosą żadnych strat.
„Volo jest gotowe ponieść tę stratę. Zrobimy wszystko, by nie przenosić jej na użytkowników.”
Protokół zapowiedział wdrożenie planu naprawczego po zakończeniu działań zabezpieczających. Podkreślił, że odbudowa zaufania użytkowników zależy od czynów, a nie obietnic.
Kolejny cios w trudnym miesiącu dla DeFi
Strata Volo dołącza do serii poważnych incydentów w kwietniu, które mocno uderzyły w zdecentralizowane finanse. Sieciowy Drift Protocol na Solanie stracił około 285 mln USD 1 kwietnia, co Elliptic połączył z domniemaną północnokoreańską operacją infiltracyjną.
Mniej niż trzy tygodnie później protokół restakingowy Kelp DAO stracił 116 500 restakowanych etherów (rsETH) o wartości około 292 mln USD przez przejęty mostek LayerZero. Od tego czasu DeFi na Ethereum straciło ponad 17% swojej całkowitej zablokowanej wartości.
Balancer również stracił ponad 128 mln USD przez exploit na początku roku. Jeden inwestor indywidualny stracił przez ukierunkowany drain portfela ponad 280 mln USD na Ethereum i Arbitrum.
Ekosystem Sui mierzył się już z podobnymi kryzysami. Atakujący wykorzystali giełdę Cetus na kwotę około 223 mln USD w maju 2025 roku. Luka w skoncentrowanych pulach płynności umożliwiła atak. Walidatorzy Sui i społeczność odzyskali większość skradzionych środków. Całkowita wartość zablokowana na Sui przekroczyła 2,6 mld USD pod koniec 2025 roku. Ten wzrost rozszerzył pole do działania dla atakujących. Napastnicy coraz częściej celują w logikę skarbców i zależności od wyroczni.
Volo obiecuje pokryć stratę 3,5 mln USD bez zewnętrznej pomocy. Depozytariusze będą uważnie obserwować moment wznowienia wypłat. Analiza post-mortem powinna wyjaśnić główną przyczynę. Pokaże, czy była to odosobniona luka, czy problem systemowy. Wyniki mogą wpłynąć na zaufanie do ekosystemu Sui DeFi.
