Volo Protocol mất 3,5 triệu USD trong vụ tấn công kho Sui giữa làn sóng hack DeFi
Nền tảng liquid staking Volo Protocol trên Sui vừa thông báo vào thứ Tư rằng một kẻ tấn công đã rút khoảng 3.5 triệu USD khỏi ba vault của họ. Đây là vụ việc bảo mật mới nhất trong mảng DeFi, thêm phần bất ổn trong tháng vốn đã chứng kiến hàng loạt vụ hack lớn.
Sau khi phát hiện tấn công, Volo đã đóng băng tất cả vault và thông báo ngay cho Sui Foundation. Các tài sản bị chiếm đoạt bao gồm Wrapped Bitcoin (WBTC), XAUm (vàng mã hóa) và USD Coin (USDC). Đội ngũ Volo xác nhận giá trị khóa còn lại, khoảng 28 triệu USD ở các vault khác, không bị ảnh hưởng bởi lỗ hổng này.
Chi tiết vụ tấn công Volo Protocol
Volo mô tả sự cố lần này là một vấn đề bảo mật trên X vào sáng thứ Tư. Chỉ có ba vault bị ảnh hưởng và đội phát triển khẳng định các phần còn lại của giao thức không chia sẻ cùng lỗ hổng này.
Dự án đang phối hợp cùng các chuyên gia điều tra on-chain và đối tác trong hệ sinh thái nhằm truy vết và thu hồi tài sản bị đánh cắp. Sau khi hoàn tất việc rà soát nội bộ, Volo sẽ công bố báo cáo chi tiết về toàn bộ sự cố.
Ban đầu, Volo được ra mắt với vai trò là nền tảng liquid staking dành riêng cho SUI, phát hành token Volo Staked SUI (vSUI), trước khi được giao thức cho vay NAVI thuộc hệ Sui mua lại vào đầu năm 2024. Các sản phẩm vault bị nhắm tới lần này hoạt động dựa trên hạ tầng staking đó và chấp nhận các tài sản mã hóa (wrapped assets) cùng stablecoin làm tài sản thế chấp cho các chiến lược tạo lợi nhuận.
Volo cũng trấn an người dùng rằng những thiệt hại sẽ không bị chuyển sang cho họ.
“Volo đã chuẩn bị để tự gánh chịu khoản lỗ này. Chúng tôi sẽ cố gắng hết sức để không đẩy gánh nặng này cho người dùng,” theo lời đội ngũ Volo trên X.
Giao thức cho biết kế hoạch khắc phục sẽ được công bố sau khi hoàn tất các biện pháp kiểm soát thiệt hại và nhấn mạnh rằng niềm tin của người dùng chỉ có thể được xây dựng lại qua hành động thực tế, không phải qua lời hứa.
Thêm một vụ việc chấn động trong tháng u ám của DeFi
Vụ việc của Volo là một phần trong chuỗi sự kiện nghiêm trọng đã xảy ra trong tháng 4 vừa qua, gây tổn thất lớn cho lĩnh vực tài chính phi tập trung. Giao thức Drift trên Solana bị mất khoảng 285 triệu USD vào ngày 01/04/2024, mà theo Elliptic, có liên quan đến một chiến dịch tấn công của các hacker Triều Tiên.
Chưa đầy ba tuần sau đó, giao thức restaking Kelp DAO bị rút sạch 116,500 ether đã restake (rsETH), trị giá xấp xỉ 292 triệu USD, do lỗ hổng trên cầu LayerZero. Kể từ đó, tổng giá trị bị khóa trên Ethereum DeFi đã giảm hơn 17%.
Balancer cũng bị chiếm đoạt hơn 128 triệu USD bởi một cuộc tấn công hồi đầu năm nay. Một nhà đầu tư nhỏ lẻ đã thiệt hại hơn 280 triệu USD khi ví DeFi trên Ethereum và Arbitrum bị rút sạch tiền.
Hệ sinh thái Sui trước đây cũng từng đối mặt với các cuộc tấn công lớn. Sàn Cetus bị tấn công và thiệt hại khoảng 223 triệu USD vào tháng 05/2025 do lỗi trong pool thanh khoản tập trung. Đội ngũ xác thực và cộng đồng Sui đã thu hồi được phần lớn số tiền bị mất. Tổng giá trị bị khóa trên Sui đã vượt 2.6 tỷ USD vào cuối năm 2025, làm gia tăng bề mặt tấn công cho hacker. Hiện nay, các cuộc tấn công thường tập trung vào logic vault và các oracle phụ thuộc.
Volo cam kết sẽ tự giải quyết khoản lỗ 3.5 triệu USD mà không cần hỗ trợ từ bên ngoài. Các nhà đầu tư gửi tiền (depositors) sẽ theo dõi sát sao khi việc rút tiền được mở lại. Báo cáo tổng kết (post-mortem) sắp tới sẽ làm rõ nguyên nhân gốc rễ, xác định đó là lỗi riêng lẻ hay là vấn đề hệ thống. Kết quả này có thể ảnh hưởng đến niềm tin vào hệ sinh thái Sui DeFi.
Bài viết đề xuất
