La piattaforma di liquid staking su Sui, Volo Protocol, ha dichiarato mercoledì che un attaccante ha sottratto circa 3,5 milioni di dollari da tre dei suoi vault, rappresentando l’ultima violazione della sicurezza DeFi in un mese già scosso da exploit che hanno superato i cento milioni.
Volo ha congelato tutti i vault dopo aver rilevato l’attacco e ha avvisato la Sui Foundation. Gli asset rubati includevano Wrapped Bitcoin (WBTC), XAUm garantito dall’oro e USD Coin (USDC). Il team ha affermato che i restanti 28 milioni di dollari di valore totale bloccato negli altri vault non condividono lo stesso vettore di attacco.
All’interno dell’exploit su Volo Protocol
Volo ha descritto l’accaduto come un incidente di sicurezza in una dichiarazione pubblicata su X nella prima mattinata di mercoledì. Solo tre vault sono stati colpiti, e il team ha dichiarato che nessun’altra parte del protocollo condivide la stessa vulnerabilità.
Il progetto sta collaborando con investigatori on-chain e partner dell’ecosistema per tracciare e recuperare i fondi sottratti. Una relazione completa verrà pubblicata una volta conclusa la revisione interna.
Volo era stato lanciato originariamente come piattaforma dedicata al liquid staking su Sui, emettendo il token Volo Staked SUI (vSUI), prima di essere acquisita dal protocollo di lending NAVI su Sui all’inizio del 2024. I prodotti vault colpiti dall’incidente si trovano su questo layer di staking e accettano wrapped asset e stablecoin come collaterale per strategie di rendimento.
Anche Volo ha dichiarato agli utenti che non dovranno preoccuparsi di subire perdite.
“Volo è pronta ad assorbire questa perdita. Faremo il possibile per non trasmetterla ai nostri utenti”, ha spiegato il team di Volo.
Il protocollo ha affermato che verrà presentato un piano di rimedio una volta terminate le operazioni di contenimento del danno, aggiungendo che la ricostruzione della fiducia degli utenti dipende dalle azioni più che dalle promesse.
L’ennesimo colpo in un mese difficile per la DeFi
La perdita di Volo segue una serie di gravi incidenti avvenuti ad aprile che hanno colpito la finanza decentralizzata. Il protocollo Drift su Solana ha subito una perdita di circa 285 milioni di dollari il 1° aprile, in quello che Elliptic ha collegato a una sospetta operazione di infiltrazione nordcoreana.
Meno di tre settimane dopo, il protocollo di restaking Kelp DAO ha subito il draining di 116.500 ether restaked (rsETH) per un valore di circa 292 milioni di dollari attraverso un bridge LayerZero compromesso. La DeFi su Ethereum da allora ha perso più del 17% del proprio valore totale bloccato.
Anche Balancer ha subito una perdita superiore a 128 milioni di dollari a inizio anno a causa di un exploit. Un wallet preso di mira è stato svuotato per oltre 280 milioni di dollari, colpendo un singolo investitore tra Ethereum e Arbitrum.
L’ecosistema Sui ha già affrontato crisi simili in passato. Gli attaccanti hanno colpito l’exchange Cetus per circa 223 milioni di dollari a maggio 2025. Una vulnerabilità nei pool di liquidità concentrata ha permesso l’attacco. I validator di Sui e la community hanno recuperato la maggior parte dei fondi trafugati. Il valore totale bloccato su Sui ha superato i 2,6 miliardi di dollari alla fine del 2025. Questa crescita ha ampliato la superficie di attacco per gli exploiters. Ora gli attaccanti prendono di mira sempre più spesso la logica dei vault e le dipendenze dagli oracoli.
Volo promette di coprire la perdita di 3,5 milioni di dollari senza aiuti esterni. I depositanti osserveranno attentamente alla riapertura dei prelievi. Il post-mortem dovrebbe chiarire la causa principale. Mostrerà se la vulnerabilità era isolata o sistemica. I risultati potrebbero impattare potenzialmente la fiducia nell’ecosistema DeFi di Sui.
