Volo Protocol, een liquid staking platform gebouwd op Sui, heeft bekendgemaakt dat het slachtoffer is geworden van een exploit die ongeveer $3,5 miljoen heeft afgetapt van verschillende vaults.
Het team zei dat de aanval de WBTC-, XAUm- en USDC-vaults trof. Het protocol gaf aan snel te hebben gehandeld na het detecteren van het probleem. Het heeft de Sui Foundation en ecosysteempartners op de hoogte gebracht en de getroffen vaults bevroren om verdere verliezen te beperken.
Ondertussen zei Volo dat de exploit gericht was op activa in de WBTC-, XAUm- en USDC-vaults. Het team heeft de technische oorzaak van het incident niet bekendgemaakt en ook geen vermoedelijke aanvaller geïdentificeerd.
In zijn publieke verklaring zei het project dat alle vaults bevroren zullen blijven totdat een volledige post-mortem en herstelproces is voltooid. Het team voegde eraan toe dat de kwetsbaarheid geen invloed had op de overige producten van het protocol.
Volo verklaarde dat ongeveer $28 miljoen aan 'total value locked' (TVL) in zijn andere vaults veilig is gebleven. Het platform zei dat die vaults niet dezelfde kwetsbaarheid delen als de geëxploiteerde vaults.
Het team gebruikte sociale media om gebruikers op de hoogte te houden naarmate de situatie zich ontwikkelde. Het zei dat de belangrijkste focus lag op het beperken van de schade en het beschermen van de resterende activa.
Volo zei dat het van plan is het verlies op zich te nemen in plaats van dit door te berekenen aan gebruikers. In zijn verklaring schreef het team: “We willen duidelijk zijn: Volo is bereid dit verlies te absorberen. We zullen ons uiterste best doen om dit niet aan onze gebruikers door te berekenen.”
Die boodschap kwam op het moment dat gebruikers duidelijkheid zochten over hoe het platform zou reageren. Het team zei dat vertrouwen moet worden verdiend en dat hun reactie gericht zou zijn op actie.
Volo voegde later toe dat het $500.000 aan geëxploiteerde activa had bevroren, minder dan 30 minuten na de eerste aankondiging. De herstelinspanningen zijn nog steeds gaande en het team heeft geen verdere details over het opsporen van activa gedeeld.
Het protocol heeft nog geen tijdlijn vrijgegeven voor het heropenen van de getroffen vaults. Het zei dat de bevriezing van kracht zal blijven totdat de beoordeling is voltooid.
De Volo-exploit kwam kort na een andere grote aanval in de cryptosector. Het volgde op de exploit van $292 miljoen met Kelp DAO, een door LayerZero aangedreven cross-chain bridge.
Onderzoekers linkten die eerdere zaak aan de Lazarus Group van Noord-Korea. Volo heeft zijn eigen exploit in dit stadium nog niet in verband gebracht met een bekende dader.
