Volo Protocol, een liquid staking-platform op Sui, meldde woensdag dat een aanvaller ongeveer $3,5 miljoen heeft gestolen uit drie van zijn kluizen. Dit is de nieuwste DeFi-beveiligingsbreuk in een maand die al werd opgeschrikt door exploits van meer dan honderd miljoen dollar.
Volo heeft alle kluizen direct bevroren na het ontdekken van de aanval en de Sui Foundation op de hoogte gebracht. De gestolen assets waren onder andere Wrapped Bitcoin (WBTC), goud-gedekte XAUm en USD Coin (USDC). Volgens het team vormen de overige $28 miljoen aan totale waarde in andere kluizen geen deel van hetzelfde aanvalspunt.
Binnen de Volo Protocol-exploit
Volo omschreef het incident als een beveiligingsprobleem in een verklaring die woensdag vroeg werd geplaatst op X. Alleen drie kluizen werden getroffen en volgens het team zijn er geen andere delen van het protocol met dezelfde kwetsbaarheid.
Het project werkt samen met on-chain onderzoekers en partners uit het ecosysteem om de gestolen fondsen op te sporen en terug te halen. Een volledig rapport volgt als het interne onderzoek is afgerond.
Volo begon oorspronkelijk als een speciaal SUI liquid staking-platform en bracht de Volo Staked SUI (vSUI) token uit. In het begin van 2024 werd het platform overgenomen door het Sui lending-protocol NAVI. De kluisproducten die nu zijn getroffen, zijn bovenop deze staking-laag gebouwd en accepteren wrapped assets en stablecoins als onderpand voor opbrengststrategieën.
Volo liet ook weten gebruikers gerust te willen stellen en zei dat eventuele verliezen niet zouden worden doorgeschoven naar de gebruikers.
“Volo is bereid dit verlies op te vangen. We doen ons best dit niet aan onze gebruikers door te geven,” zei het Volo-team.
Het protocol liet weten dat er een herstelplan volgt zodra de eerste herstelacties klaar zijn. Ze voegden toe dat het herstellen van het vertrouwen van gebruikers vooral afhangt van acties, niet van beloften.
Nieuwste tegenslag in een zware maand voor DeFi
Het verlies van Volo volgt op een reeks grote incidenten in april die de decentralized finance sector hard hebben geraakt. Zo verloor het Solana-gebaseerde Drift Protocol op 1 april ongeveer $285 miljoen, bij een aanval die volgens Elliptic vermoedelijk door Noord-Koreaanse hackers is uitgevoerd.
Minder dan drie weken later werd restaking-protocol Kelp DAO leeggehaald. Daarbij werd 116.500 restaked ether (rsETH), ter waarde van ongeveer $292 miljoen, gestolen via een gehackte LayerZero bridge. Sindsdien is het totaal belegde vermogen in Ethereum DeFi met meer dan 17% gedaald.
Balancer verloor eerder dit jaar ook meer dan $128 miljoen door een hack. Bij een gerichte wallet-drain raakte een individuele investeerder meer dan $280 miljoen kwijt op Ethereum en Arbitrum.
Het Sui-ecosysteem heeft vaker zulke crises meegemaakt. In mei 2025 wisten aanvallers de Cetus exchange uit te buiten voor ongeveer 223 miljoen dollar. Een fout in concentrated liquidity pools maakte de aanval mogelijk. Sui validators en de community wisten het grootste deel van het gestolen geld terug te halen. Tegen het einde van 2025 zat er meer dan 2,6 miljard dollar opgesloten op Sui. Door die groei werd het platform aantrekkelijker voor aanvallers. Zij richten zich steeds vaker op kluislogica en orakel-afhankelijkheden.
Volo belooft het verlies van 3,5 miljoen dollar zonder externe hulp op te vangen. Deposanten zullen goed opletten als opnames weer mogelijk zijn. Het uitgebreide verslag moet de kern van het probleem duidelijk maken. Dan zal blijken of het om een enkel geval ging of om een breder probleem. De resultaten kunnen het vertrouwen in het Sui DeFi-ecosysteem beïnvloeden.
