Sui-बेस्ड लिक्विड स्टेकिंग प्लेटफॉर्म Volo Protocol ने बुधवार को बताया कि एक अटैकर ने इसके तीन वॉल्ट्स से लगभग $3.5 मिलियन ड्रेन कर लिए, जो इस महीने के नौ-फिगर एक्सप्लॉइट्स के बाद लेटेस्ट DeFi सिक्योरिटी ब्रिच है।
Volo ने अटैक डिटेक्ट होने के बाद सभी वॉल्ट्स फ्रीज़ कर दिए और Sui Foundation को जानकारी दी। चुराए गए एसेट्स में Wrapped Bitcoin (WBTC), गोल्ड-बैक्ड XAUm और USD Coin (USDC) शामिल थे। टीम ने बताया कि बाकी वॉल्ट्स में $28 मिलियन की टोटल वैल्यू लॉक्ड है, जिसमें ऐसा कोई अटैक वेक्टर नहीं है।
Volo Protocol एक्सप्लॉइट के अंदर की कहानी
Volo ने इस ब्रिच को सिक्योरिटी इंसिडेंट के रूप में डिफाइन किया और X पर बुधवार सुबह अपना स्टेटमेंट शेयर किया। सिर्फ तीन वॉल्ट्स ही प्रभावित हुए हैं और टीम के मुताबिक प्रोटोकॉल का कोई और हिस्सा इस वल्नरेबिलिटी से अफेक्टेड नहीं है।
प्रोजेक्ट ऑन-चेन इन्वेस्टिगेटर्स और इकोसिस्टम पार्टनर्स के साथ मिलकर चोरी हुए फंड्स को ट्रेस और रिकवर करने पर काम कर रहा है। इंटरनल रिव्यू पूरी होने के बाद एक पूरा पोस्ट-मॉर्टेम जारी किया जाएगा।
Volo ने शुरुआत में Sui के लिए डेडिकेटेड लिक्विड स्टेकिंग प्लेटफॉर्म के रूप में लॉन्च किया था, जो Volo Staked SUI (vSUI) टोकन जारी करता है, और 2024 की शुरुआत में Sui लेंडिंग प्रोटोकॉल NAVI ने इसे एक्वायर किया। जिस वॉल्ट प्रोडक्ट्स पर यह अटैक हुआ, वे इसी स्टेकिंग लेयर पर बने हैं और यील्ड स्ट्रेटजी के लिए wrapped एसेट्स और स्टेबलकॉइन को कोलेट्रल के रूप में एक्सेप्ट करते हैं।
Volo ने यूज़र्स को भी भरोसा दिलाया है कि उनका कोई नुकसान यूज़र्स को ट्रांसफर नहीं किया जाएगा।
“Volo इस नुकसान को खुद absorb करने के लिए तैयार है। हम अपनी पूरी कोशिश करेंगे कि यूज़र्स पर इसका असर न पड़े,” Volo टीम ने कहा।
प्रोटोकॉल ने कहा, डैमेज कंट्रोल ऑपरेशन खत्म होने के बाद रिमेडिएशन प्लान जारी किया जाएगा। साथ ही टीम ने माना कि यूज़र ट्रस्ट दोबारा पाने के लिए सिर्फ वादों से कुछ नहीं होगा, बल्कि एक्शन दिखाना ज़रूरी है।
DeFi के लिए मुश्किल महीने में लेटेस्ट झटका
Volo की यह लॉस अप्रैल की उन सीरीज इंसिडेंट्स के बाद सामने आई है, जिनके कारण डीसेंट्रलाइज्ड फाइनेंस को जबरदस्त नुकसान हुआ। Solana-बेस्ड Drift Protocol ने 1 अप्रैल को करीब $285 मिलियन खो दिए, जिसे Elliptic ने नॉर्थ कोरिया की संदिग्ध ऑपरेशन से जोड़ा है।
इसके तीन हफ्ते बाद, restaking प्रोटोकॉल Kelp DAO से compromised LayerZero ब्रिज के जरिए 116,500 restaked ether (rsETH) यानी लगभग $292 मिलियन ड्रेन कर लिए गए। इसके बाद से Ethereum DeFi ने अपनी टोटल वैल्यू लॉक्ड का 17% से ज्यादा हिस्सा खो दिया है।
Balancer को इस साल की शुरुआत में एक एक्सप्लॉइट के चलते $128 मिलियन से ज्यादा का नुकसान हुआ था। एक टारगेटेड वॉलेट ड्रेन ने एक इन्वेस्टर को Ethereum और Arbitrum पर $280 मिलियन से ज्यादा का घाटा करा दिया।
Sui इकोसिस्टम पहले भी ऐसी ही घटनाओं का सामना कर चुका है। मई 2025 में अटैकर्स ने Cetus exchange का लगभग $223 मिलियन का एक्सप्लॉइट किया। कंसन्ट्रेटेड लिक्विडिटी पूल्स में एक खामी के कारण यह अटैक मुमकिन हो सका। Sui वेलिडेटर्स और कम्युनिटी ने अधिकतर चोरी किए गए फंड्स रिकवर कर लिए थे। 2025 के आखिर में Sui पर टोटल वैल्यू लॉक्ड $2.6 बिलियन से भी ज्यादा हो गई थी। इस ग्रोथ के चलते एक्सप्लॉइटर्स के लिए अटैक सर्फेस भी बढ़ गया। अब हमलावर अकसर वॉल्ट लॉजिक और ओरैकल डिपेंडेंसीज को टारगेट कर रहे हैं।
Volo ने बिना किसी बाहरी मदद के $3.5 मिलियन के नुकसान को कवर करने का वादा किया है। डिपॉज़िटर्स विड्रॉल्स दोबारा खुलने पर बारीकी से निगरानी रखेंगे। पोस्ट-मॉर्टेम से असली वजह स्पष्ट होनी चाहिए। इससे पता चलेगा कि खामी सिर्फ एक जगह थी या ये समस्या सिस्टमेटिक है। ये निष्कर्ष Sui DeFi इकोसिस्टम में ट्रस्ट को प्रभावित कर सकते हैं।
