• Volo 协议在 2026 年 4 月 21 日因管理员私钥被泄露，损失了 350 万美元，涉及三个基于 Sui 的金库。
• GoPlus Security 和 ExVul 确认了特权操作员密钥的泄露，而不是 Volo 的审计智能合约存在缺陷。
• Volo 阻止了攻击者的 19.6 WBTC 桥接尝试，并承担了所有损失，金库被冻结，待事后分析。

此次攻击耗空了三个持有包裹比特币 (WBTC)、Matrixdock 的代币化黄金资产 XAUm 和 USDC 的金库。独立的损失分析显示，损失约为 WBTC 210 万美元、XAUm 90 万美元和 USDC 50 万美元。其余金库总价值约 2800 万美元，未受影响且没有显示出共同的脆弱性。

Volo 的团队快速检测到泄露。团队冻结了所有金库，通知了 Sui 基金会，并开始与链上调查者和生态系统合作伙伴合作，追踪和追回被盗资金。

在 X 上的帖子中，Volo 表示将承担全部损失，而不会将成本转嫁给存款人。“Volo 准备承担这一损失。我们将尽力不把这转嫁给我们的用户，”团队写道。在调查结束后，承诺会公布完整的事后分析。

“我们现在处于损害控制模式，但一旦完成，我们将制定补救计划，并很快分享完整的分析，”团队补充道。

在初步公告后的 30 分钟内，Volo 报告通过与生态系统合作伙伴的合作，冻结了大约 50 万美元的被盗资产。次日，即 4 月 22 日，团队确认拦截并阻止了攻击者尝试转移 19.6 WBTC 的行动，价值约 210 万美元。这些资金不再在攻击者控制之下。

安全公司 Goplus Security、Exvul Security 和 Bitslab 各自发布了初步链上分析，指出特权操作员密钥被泄露是根本原因。研究人员确认攻击者的地址为 0xe76970bbf9b038974f6086009799772db5190f249ce7d065a581b1ac0adaef75，该地址使用了 withdraw_with_account_cap_v2 等函数来耗空金库。

Goplus 将此次泄露归因于针对金库管理账户的社会工程和相关欺诈技术。未发现核心智能合约代码存在缺陷。这将泄露事件归类为密钥管理失败，而非协议层漏洞。

Volo 之前已与 Ottersec、Movebit 和 Hacken 完成了审计，并在被攻击时保持有效的漏洞悬赏计划。所有金库仍被冻结。Volo 和其合作伙伴正在积极工作以将被封堵的 WBTC 归还给协议。详细的补救计划将在即将发布的事后分析中附上。

2026 年 4 月对 Volo 的攻击发生在 2026 年 4 月 18 日 KelpDAO 泄露之后。某些估计显示，2026 年 4 月，跨协议的累积 DeFi 损失已超过 6 亿美元，反映出针对访问控制和密钥管理的攻击模式，而不是链上代码。

未受影响金库的存款人并未报告损失。Volo 的团队已指引用户关注 X 上的官方 @volo_sui 账户，以获取实时更新，直至完整事后分析发布。

此次事件进一步增加了尽管通过正式审计，DeFi 平台仍面临密钥管理风险的记录，这是安全研究人员在 2025 年和 2026 年多次在多个区块链生态系统中发现的模式。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。