Платформа ліквідного стейкінгу на базі Sui — Volo Protocol — 18 листопада 2025 року повідомила про несанкціоноване вилучення близько $3,5 млн з трьох своїх сховищ. Цей інцидент став черговим значним порушенням безпеки у секторі DeFi, що вже зазнав кількох атак з втратами понад $100 млн протягом поточного місяця.
Volo негайно заморозила всі сховища після виявлення атаки та повідомила про інцидент Sui Foundation. Серед активів, що зазнали крадіжки, були обгорнутий біткойн (WBTC), XAUm із золотим забезпеченням, а також USD Coin (USDC). Команда підкреслила: решта $28 млн загальної вартості заблокованих активів розподілені по інших сховищах без наявності спільних векторів атаки.
Деталі експлойту в протоколі Volo
Volo у офіційному повідомленні на X охарактеризувала інцидент як порушення безпеки. Атаковано лише три окремі сховища; команда наголосила, що у протоколі відсутні подібні вразливості в інших продуктах.
Зараз проєкт співпрацює з ончейн-аналізаторами та учасниками екосистеми з метою ідентифікації й повернення викрадених цифрових активів. Офіційний аналіз (post-mortem) буде оприлюднено після завершення внутрішньої перевірки.
Платформа Volo розпочала діяльність як спеціалізований SUI-орієнтований сервіс ліквідного стейкінгу, випускаючи токен Volo Staked SUI (vSUI). На початку 2024 року Volo була придбана Sui-орієнтованим lending-протоколом NAVI. Окремі сховища, що стали ціллю атаки, побудовані на базі шару стейкінгу — ці продукти приймають обгорнуті активи й стейблкойни як забезпечення під стратегії отримання прибутковості.
Volo додатково поінформувала користувачів: всі втрати буде погашено коштом протоколу, жодні ризики не перекладатимуться на вкладників.
«Volo готова самостійно компенсувати понесені збитки. Ми зробимо все можливе, щоб не перекладати ці втрати на користувачів», — прокоментувала команда Volo, заявила.
У протоколі зазначають, що детальний план компенсацій буде оприлюднено після завершення аварійного реагування. Відновлення довіри спільноти напряму залежить від конкретних дій платформи, а не декларацій.
Черговий удар по DeFi ‒ сектор переживає турбулентний період
Втрати Volo відбулися на тлі серії масштабних інцидентів у галузі децентралізованих фінансів цього місяця. Наприклад, Solana-орієнтований протокол Drift втратив приблизно $285 млн 1 квітня, що, на думку аналітиків Elliptic, пов’язано з несанкціонованим вторгненням північнокорейських структур.
Менш ніж за три тижні після цього, протокол для рестейкінгу Kelp DAO зазнав втрат у розмірі 116 500 restaked ether (rsETH), еквівалент майже $292 млн, через компрометацію LayerZero Bridge. За цей час сегмент Ethereum DeFi втратив понад 17% показника загальної вартості заблокованих активів.
Раніше платформа Balancer також втратила понад $128 млн внаслідок експлойту. Один інституційний інвестор через напрямлений drain із гаманця зазнав збитків понад $280 млн у мережах Ethereum і Arbitrum.
Екосистема Sui вже мала аналогічні прецеденти. У травні 2025 року експлойт на біржі Cetus спричинив втрати близько 223 млн доларів. Тоді критична помилка в пулах концентрованої ліквідності дала змогу здійснити атаку. Переважна частка викрадених коштів була повернена за участі Sui-валідаторів і спільноти. На кінець 2025 року загальна вартість заблокованих активів у мережі Sui перевищила 2,6 млрд доларів, що суттєво розширило площину вразливостей. Мішенню зловмисників дедалі частіше стають бізнес-логіка сховищ та залежності від оракулів.
Volo взяла на себе зобовʼязання компенсувати збитки у розмірі $3,5 млн без залучення зовнішніх ресурсів. Депозитори очікують відкриття можливості виведення активів найближчим часом. Подальший детальний аналіз інциденту має встановити першопричини: чи мала місце ізольована помилка, чи існують системні ризики. Зміст офіційного post-mortem матиме значення для загального рівня довіри до сектору DeFi на Sui.
