Nền tảng Liquid Staking Volo Protocol có trụ sở tại Sui cho biết hôm thứ Tư rằng một kẻ tấn công đã rút khoảng 3,5 triệu đô la từ ba kho tiền của họ, đây là vụ vi phạm an ninh DeFi mới nhất trong một tháng vốn đã bị rung chuyển bởi các vụ tấn công trị giá hàng trăm triệu đô la.
Volo đã đóng băng tất cả các kho tiền sau khi phát hiện cuộc tấn công và thông báo cho Quỹ Sui . Các tài sản bị đánh cắp bao gồm Wrapped Bitcoin (WBTC), XAUm được bảo đảm bằng vàng và USD Coin (USDC). Nhóm nghiên cứu cho biết Tổng giá trị bị khóa (TVL) trong các kho tiền khác không có chung phương thức tấn công.
Bên trong lỗ hổng bảo mật của giao thức Volo
Volo mô tả vụ xâm nhập là một sự cố an ninh trong một tuyên bố được đăng trên X vào sáng sớm thứ Tư. Chỉ có ba kho lưu trữ bị ảnh hưởng, và nhóm cho biết không có phần nào khác của giao thức có cùng lỗ hổng bảo mật.
Dự án đang phối hợp với các nhà điều tra on-chain và các đối tác trong hệ sinh thái để truy tìm và thu hồi số tiền bị đánh cắp. Một cuộc điều tra toàn diện sẽ được tiến hành sau khi quá trình xem xét nội bộ kết thúc.
Volo ban đầu được ra mắt như một nền tảng Liquid Staking Sui thanh khoản chuyên dụng, phát hành Token Volo Staked Sui (vSUI), trước khi được giao thức cho vay Sui NAVI mua lại vào đầu năm 2024. Các sản phẩm vault bị nhắm mục tiêu trong sự cố này nằm trên lớp Staking đó và chấp nhận tài sản được đóng gói và stablecoin làm tài sản thế chấp cho các chiến lược lợi nhuận.
Volo cũng đã trấn an người dùng rằng bất kỳ khoản lỗ nào cũng sẽ không được chuyển sang cho người mua.
"Volo đã chuẩn bị sẵn sàng để gánh chịu khoản lỗ này. Chúng tôi sẽ cố gắng hết sức để không chuyển gánh nặng này sang người dùng", đội ngũ Volo cho biết .
Nghị định thư nêu rõ rằng một kế hoạch khắc phục sẽ được đưa ra sau khi các hoạt động kiểm soát thiệt hại hoàn tất, đồng thời nhấn mạnh việc xây dựng lại lòng tin của người dùng phụ thuộc vào hành động chứ không phải lời hứa.
Tin tức mới nhất trong một tháng đầy khó khăn đối với DeFi
Sự thua lỗ của Volo diễn ra sau hàng loạt sự cố lớn trong tháng Tư đã gây chấn động lĩnh vực tài chính phi tập trung. Drift Protocol, có trụ sở tại Solana, đã mất khoảng 285 triệu đô la vào ngày 1 tháng 4, mà Elliptic cho rằng có liên quan đến một chiến dịch xâm nhập bị nghi ngờ của Triều Tiên.
Chưa đầy ba tuần sau, giao thức reStaking Kelp Các tổ chức tự trị phi tập trung (DAO) đã bị rút sạch 116.500 ether tái đặt cược (rsETH), trị giá khoảng 292 triệu đô la, thông qua một cầu nối LayerZero bị xâm phạm. Kể từ đó, Ethereum DeFi đã mất hơn 17% Tổng giá trị bị khóa (TVL).
Balancer cũng đã mất hơn 128 triệu đô la do một vụ tấn công mạng hồi đầu năm. Một vụ rút tiền có chủ đích đã khiến một nhà đầu tư cá nhân mất hơn 280 triệu đô la trên cả Ethereum và Arbitrum.
Hệ sinh thái Sui đã từng đối mặt với những khủng hoảng tương tự trước đây. Tin tặc đã khai thác sàn giao dịch Cetus và chiếm đoạt khoảng 223 triệu đô la vào tháng 5 năm 2025. Một lỗ hổng trong các nhóm thanh khoản tập trung đã tạo điều kiện cho cuộc tấn công. Các nhà xác thực Sui và cộng đồng đã thu hồi được phần lớn số tiền bị đánh cắp. Tổng giá trị bị khóa (TVL) trên Sui đã vượt quá 2,6 tỷ đô la vào cuối năm 2025. Sự tăng trưởng này đã mở rộng bề mặt tấn công cho tin tặc. Hiện nay, tin tặc thường nhắm mục tiêu vào logic kho tiền và các phụ thuộc oracle nhiều hơn.
Volo cam kết sẽ bù đắp khoản lỗ 3,5 triệu đô la mà không cần sự trợ giúp từ bên ngoài. Người gửi tiền sẽ theo dõi sát sao khi việc rút tiền được mở lại. Việc điều tra sau sự cố sẽ làm rõ nguyên nhân gốc rễ. Nó sẽ cho thấy liệu lỗi này là riêng lẻ hay mang tính hệ thống. Kết quả điều tra có thể ảnh hưởng đến niềm tin vào hệ sinh thái Sui DeFi .
