스위스 기반의 유동성 스테이킹 플랫폼인 볼로 프로토콜(Volo Protocol)은 수요일에 한 공격자가 자사 금고 3곳에서 약 350만 달러를 빼돌렸다고 밝혔습니다. 이는 이미 수억 달러 규모의 해킹 공격으로 몸살을 앓고 있는 이번 달에 발생한 또 다른 탈중앙 금융(DeFi) 보안 침해 사건입니다.
Volo는 공격을 감지한 후 모든 금고를 동결하고 수이(SUI) 재단에 통보했습니다. 도난당한 자산에는 랩트 비트코인(Wrapped Bitcoin) (WBTC), 금으로 뒷받침되는 XAUm, USD 코인(USD Coin) (USDC)이 포함됩니다. 팀은 다른 금고에 TVL(Total Value Locked) 은 공통된 공격 경로가 없다고 밝혔습니다.
Volo 프로토콜 익스플로잇 내부
볼로는 수요일 새벽 X 에 게시한 성명에서 이번 침해 사건을 보안 사고라고 설명했습니다. 영향을 받은 저장소는 단 세 곳뿐이며, 프로토콜의 다른 부분은 동일한 취약점을 공유하지 않는다고 밝혔습니다.
본 프로젝트는 온체인 조사관 및 생태계 파트너와 협력하여 도난당한 자금을 추적하고 회수하는 작업을 진행하고 있습니다. 내부 검토가 완료되면 전체적인 사후 분석 보고서가 발표될 예정입니다.
Volo는 원래 수이(SUI) 유동성 스테이킹 전용 플랫폼으로 출시되어 Volo Staked 수이(SUI) (vSUI) 토큰을 발행했으며, 2024년 초 수이(SUI) 대출 프로토콜인 NAVI에 인수되었습니다. 이번 사건의 대상이 된 볼트 상품들은 해당 스테이킹 레이어 위에 구축되어 있으며, 수익률 전략을 위한 담보로 래핑 자산과 스테이블코인을 허용합니다.
볼로는 또한 어떠한 손실도 사용자에게 전가되지 않을 것이라고 안심시켰습니다.
볼로 측은 "볼로는 이번 손실을 감당할 준비가 되어 있습니다. 사용자에게 손실을 전가하지 않도록 최선을 다하겠습니다." 라고 밝혔습니다 .
해당 프로토콜은 피해 수습 작업이 완료되면 복구 계획이 뒤따를 것이라고 명시하며, 사용자 신뢰 회복은 약속보다는 행동에 달려 있다고 덧붙였습니다.
디파이 시장에 닥친 혹독한 한 달 중 또 다른 타격
볼로의 손실은 4월에 발생한 일련의 주요 탈중앙화 금융 사건들에 이은 것입니다. 솔라나에 기반을 둔 드리프트 프로토콜은 4월 1일에 약 2억 8500만 달러의 손실을 입었는데, 엘립틱은 이를 북한의 침투 작전과 연관지었습니다.
3주도 채 지나지 않아 리스테이킹(reStaking) 프로토콜인 Kelp 분산형 자율 조직(DAO) 레이어제로 브리지가 해킹당해 약 2억 9200만 달러 상당의 리스테이트 이더(rsETH) 116,500개가 유출되었습니다. 이후 이더리움 DeFi는 TVL(Total Value Locked) 의 17% 이상을 잃었습니다.
Balancer는 올해 초에도 공격으로 1억 2,800만 달러 이상의 손실을 입었습니다. 한 개인 투자자는 표적 공격 으로 이더리움과 아비트럼(Arbitrum) 통해 2억 8,000만 달러 이상의 자산을 잃었습니다.
수이(SUI) 생태계는 이전에도 유사한 위기를 겪은 적이 있습니다. 2025년 5월, 공격자들은 Cetus 거래소를 악용하여 약 2억 2,300만 달러 상당의 자금을 탈취했습니다. 집중된 유동성 풀의 취약점이 공격의 원인이 되었습니다. 수이(SUI) 검증자들과 커뮤니티는 탈취된 자금의 대부분을 복구했습니다. 2025년 말, 수이(SUI) 에 TVL(Total Value Locked) 26억 달러를 넘어섰습니다. 이러한 성장세는 공격자들이 악용할 수 있는 공격 표면을 확대시켰습니다. 이제 공격자들은 볼트 로직과 오라클 의존성을 더욱 빈번하게 공격 대상으로 삼고 있습니다.
볼로는 외부 지원 없이 350만 달러의 손실을 자체적으로 부담하겠다고 약속했습니다. 예금자들은 출금이 재개될 때 상황을 예의주시할 것입니다. 사후 분석을 통해 근본 원인이 밝혀질 것이며, 이번 오류가 개별적인 문제인지 시스템적인 문제인지도 드러날 것입니다. 이러한 분석 결과는 수이(SUI) DeFi 생태계에 대한 신뢰에 영향을 미칠 수 있습니다.
