Violación de seguridad del protocolo Volo: 3,5 millones de dólares drenados de la plataforma de participación líquida basada en Sui

El 21 de abril, Volo Protocol, un servicio de participación líquida que opera en la cadena de bloques Sui, reveló que había sido víctima de una vulnerabilidad de seguridad que resultó en aproximadamente $3,5 millones en fondos de usuarios robados. La infracción afectó a tres bóvedas específicas dentro de la infraestructura del protocolo. Estas bóvedas contenían Wrapped Bitcoin, un activo vinculado al oro conocido como XAUm, y la moneda estable USDC. Ninguna otra bóveda dentro de la plataforma se vio comprometida. 🔒 Actualización sobre incidentes de seguridad: Protocolo Volo Queremos dirigirnos a nuestra comunidad de manera directa y transparente sobre un incidente de seguridad que ocurrió hoy. Tenga la seguridad de que Volo está preparado para absorber cualquier pérdida. Qué sucedió: un exploit resultó en la eliminación de aproximadamente... - Volo (@volo_sui) 21 de abril de 2026 El equipo detrás de Volo reveló el incidente a través de X, explicando que inmediatamente se comunicaron con la Fundación Sui y los colaboradores del ecosistema al detectar la infracción. Como medida de precaución, se congelaron todas las bóvedas para evitar un drenaje adicional de fondos. Sorprendentemente, sólo 30 minutos después de hacer público el exploit, Volo informó haber congelado con éxito 500.000 dólares de los activos malversados. No se reveló el mecanismo específico utilizado para lograr este congelamiento. Según la declaración de Volo, los 28 millones de dólares en activos que se conservan en las bóvedas restantes no están expuestos a riesgos. El equipo aclaró que estas bóvedas no afectadas funcionan de forma independiente y no contienen la misma falla de seguridad. El equipo de desarrollo de Volo anunció que asumiría toda la carga financiera del exploit en lugar de traspasar los costos a su base de usuarios. "Queremos ser claros: Volo está preparado para absorber esta pérdida", afirmó el equipo en X. Los detalles sobre la vulnerabilidad de seguridad específica explotada en el ataque no se han hecho públicos. Asimismo, se desconoce la identidad del perpetrador. Volo confirmó que todas las bóvedas permanecerán congeladas hasta que los investigadores completen un análisis post mortem integral y establezcan una estrategia de remediación adecuada. El equipo ha reclutado expertos forenses en cadena para ayudar a rastrear y potencialmente recuperar los fondos robados pendientes. Al enfatizar su compromiso con la comunidad, el protocolo decía: “Entendemos que la confianza se gana y, en este momento, estamos completamente enfocados en acciones”, según la declaración pública de Volo. Esta violación de seguridad en Volo se produce inmediatamente después de un exploit significativamente mayor dirigido a Kelp DAO, un puente de cadena cruzada impulsado por LayerZero que sufrió una devastadora pérdida de 292 millones de dólares en un ataque separado. Los investigadores de seguridad han atribuido el compromiso de Kelp DAO al Grupo Lazarus, una operación cibernética patrocinada por el estado de Corea del Norte con un historial establecido de ataques a infraestructuras de criptomonedas. El equipo de Volo no ha dado indicios de que su exploit comparta alguna conexión con la violación de Kelp DAO. No se ha proporcionado un cronograma específico sobre cuándo las bóvedas congeladas reanudarán sus operaciones normales. Se prevé un análisis post mortem detallado una vez finalizada la investigación en curso. A partir de ahora, los 500.000 dólares en activos congelados representan la única parte confirmada de los fondos robados que se ha asegurado.