Volo 协议安全漏洞：基于 Sui 的 Liquid 质押平台损失 350 万美元

4 月 21 日，在 Sui 区块链上运行的流动性质押服务 Volo Protocol 披露，它已成为安全漏洞的受害者，导致约 350 万美元的用户资金被盗。此次泄露影响了协议基础设施内的三个特定金库。这些金库包含 Wrapped Bitcoin、一种名为 XAUm 的黄金挂钩资产和 USDC 稳定币。平台内的其他金库没有受到损害。 🔒 安全事件更新 – Volo 协议 我们希望直接、透明地向社区通报今天早些时候发生的安全事件。请放心，沃洛已准备好承担任何损失。发生了什么：漏洞导致大约删除…… — Volo (@volo_sui) 2026 年 4 月 21 日 Volo 背后的团队通过 X 披露了这一事件，并解释说，他们在发现漏洞后立即联系了 Sui 基金会和生态系统合作者。作为预防措施，所有金库都被冻结，以防止额外的资金流失。值得注意的是，在公开该漏洞后仅 30 分钟，Volo 就报告成功冻结了 50 万美元的被盗资产。没有披露用于实现这种冻结的具体机制。根据 Volo 的声明，其剩余金库中持有的 2800 万美元资产没有面临风险。该团队澄清说，这些未受影响的金库独立运行，不存在相同的安全漏洞。 Volo 开发团队宣布将承担该漏洞的全部财务负担，而不是将任何成本转嫁给其用户群。该团队在 X 上表示：“我们想明确的是：Volo 已准备好承担这一损失。”有关攻击中利用的具体安全漏洞的详细信息尚未公开。同样，肇事者的身份仍然未知。沃洛证实，在调查人员完成全面的事后分析并制定适当的补救策略之前，所有金库都将保持冻结状态。该团队已聘请链上取证专家协助追踪并可能追回未偿还的被盗资金。根据 Volo 的公开声明，该协议强调了他们对社区的承诺：“我们知道信任是赢得的，现在我们完全专注于行动”。 Volo 的这一安全漏洞是在针对 Kelp DAO 的一次更大规模的攻击之后发生的，Kelp DAO 是一个由 LayerZero 驱动的跨链桥，在一次单独的攻击中遭受了 2.92 亿美元的毁灭性损失。安全研究人员将 Kelp DAO 的入侵归咎于 Lazarus Group，这是一个由朝鲜国家资助的网络行动，有着攻击加密货币基础设施的悠久历史。 Volo 的团队没有表明他们的漏洞与 Kelp DAO 漏洞有任何联系。对于冻结的金库何时恢复正常运行，尚未提供具体时间表。正在进行的调查完成后，预计将进行详细的尸检分析。截至目前，50万美元的被冻结资产是被盗资金中唯一确认已得到保护的部分。