Violation de la sécurité du protocole Volo : 3,5 millions de dollars drainés de la plateforme de jalonnement liquide basée sur Sui

Table des matières Le 21 avril, Volo Protocol, un service de jalonnement liquide opérant sur la blockchain Sui, a révélé qu'il avait été victime d'un exploit de sécurité entraînant le vol d'environ 3,5 millions de dollars de fonds d'utilisateurs. La violation a touché trois coffres-forts spécifiques au sein de l’infrastructure du protocole. Ces coffres contenaient Wrapped Bitcoin, un actif indexé sur l'or connu sous le nom de XAUm, et du stablecoin USDC. Aucun autre coffre-fort au sein de la plateforme n’a été compromis. 🔒 Mise à jour sur les incidents de sécurité – Protocole Volo Nous souhaitons nous adresser à notre communauté directement et de manière transparente au sujet d'un incident de sécurité survenu plus tôt dans la journée. Rassurez-vous, Volo est prêt à absorber toute perte. Ce qui s'est passé : un exploit a entraîné la suppression d'environ… — Volo (@volo_sui) 21 avril 2026 L'équipe derrière Volo a révélé l'incident via X, expliquant qu'elle a immédiatement contacté la Fondation Sui et les collaborateurs de l'écosystème après avoir détecté la violation. Par mesure de précaution, tous les coffres-forts ont été gelés pour empêcher un drainage supplémentaire des fonds. Remarquablement, à peine 30 minutes après avoir rendu public l'exploit, Volo a signalé avoir réussi à geler 500 000 $ d'actifs détournés. Le mécanisme spécifique utilisé pour réaliser ce gel n’a pas été divulgué. Selon la déclaration de Volo, les 28 millions de dollars d’actifs détenus dans ses coffres restants ne sont exposés à aucun risque. L'équipe a précisé que ces coffres-forts non concernés fonctionnent de manière indépendante et ne contiennent pas la même faille de sécurité. L'équipe de développement de Volo a annoncé qu'elle assumerait l'intégralité du fardeau financier de l'exploit plutôt que de répercuter les coûts sur sa base d'utilisateurs. "Nous voulons être clairs : Volo est prêt à absorber cette perte", a déclaré l'équipe sur X. Les détails concernant la vulnérabilité de sécurité spécifique exploitée dans l'attaque n'ont pas été rendus publics. De même, l’identité de l’auteur reste inconnue. Volo a confirmé que tous les coffres resteront gelés jusqu'à ce que les enquêteurs effectuent une analyse post-mortem complète et établissent une stratégie de remédiation appropriée. L'équipe a fait appel à des experts légistes en chaîne pour l'aider à suivre et éventuellement à récupérer les fonds volés en suspens. Soulignant leur engagement envers la communauté, le protocole déclarait : « Nous comprenons que la confiance se mérite, et pour le moment, nous nous concentrons entièrement sur les actions », selon la déclaration publique de Volo. Cette faille de sécurité chez Volo fait suite à un exploit beaucoup plus important ciblant Kelp DAO, un pont inter-chaînes alimenté par LayerZero qui a subi une perte dévastatrice de 292 millions de dollars lors d'une attaque distincte. Les chercheurs en sécurité ont attribué la compromission Kelp DAO au groupe Lazarus, une cyberopération parrainée par l'État nord-coréen avec un historique d'attaques sur l'infrastructure de crypto-monnaie. L’équipe de Volo n’a indiqué aucune relation entre son exploit et la violation de Kelp DAO. Aucun calendrier précis n’a été prévu pour la reprise des opérations normales des chambres fortes gelées. Une analyse post-mortem détaillée est prévue une fois l'enquête en cours terminée. Pour l’instant, les 500 000 $ d’actifs gelés représentent la seule partie confirmée des fonds volés qui a été sécurisée.