Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 272Compromiso de clave privada

Ingeniería social a clave admin de Volo en Sui

Las bóvedas Sui de Volo perdieron $3,5M tras ingeniería social que comprometió la clave admin. El equipo congeló $500K y bloqueó un puente WBTC de $2,1M.

Fecha
Víctima
Volo Protocol
Cadena(s)
Sui
Estado
Parcialmente recuperado

El 22 de abril de 2026 — cuatro días después de la catástrofe de KelpDAO — el protocolo de liquid staking basado en Sui Volo perdió aproximadamente $3,5 millones en sus bóvedas WBTC, XAUm y USDC. La causa fue una clave privada admin comprometida obtenida mediante ingeniería social dirigida a la cuenta admin de la bóveda — no un fallo de contrato inteligente. En 30 minutos desde la detección, Volo había congelado aproximadamente $500K en tránsito y al día siguiente bloqueó el intento del atacante de puentear 19,6 WBTC (~$2,1M).

Qué ocurrió

Volo Protocol había estado operando en Sui durante aproximadamente 18 meses sin incidentes de seguridad previos. Las bóvedas del protocolo estaban detrás de contratos inteligentes auditados, con operaciones privilegiadas tras una única clave privada admin.

El vector de compromiso fue ingeniería social — confirmado por el análisis post-incidente de GoPlus Security y ExVul. Los atacantes usaron técnicas estándar de suplantación y pretexto para obtener acceso a las credenciales de la cuenta admin, y luego usaron la ruta legítima de firma para drenar el contenido de las bóvedas.

Desglose del drenaje:

  • ~$2,1M en WBTC
  • ~$900K en XAUm (token respaldado por oro)
  • ~$500K en USDC

Consecuencias

  • Volo divulgó públicamente el incidente en minutos desde la detección.
  • En 30 minutos, el equipo había congelado ~$500K de los activos robados mediante colaboración con socios del ecosistema (incluyendo la Sui Foundation, operadores de puentes del lado de Sui y equipos de compliance de exchanges).
  • Al día siguiente (22 de abril), el equipo interceptó y bloqueó el intento del atacante de puentear 19,6 WBTC (~$2,1M) — aprovechando controles del lado de Sui para prevenir la transferencia cross-chain.
  • Volo congeló todas las bóvedas, coordinó con la Sui Foundation la respuesta a nivel de cadena, y declaró que los $28 millones restantes en fondos estaban a salvo.
  • El protocolo se comprometió a absorber la pérdida total en lugar de pasarla a los usuarios.

Por qué importa

El incidente de Volo es uno de tres incidentes notables del ecosistema Sui de abril de 2026 (junto con liquidaciones de seguimiento relacionadas con KelpDAO) que demostraron las capacidades coordinadas de respuesta a incidentes de Sui. El conjunto pequeño y bien organizado de validadores de la cadena y la participación activa de la Sui Foundation permitieron acciones de congelamiento que no serían posibles en Ethereum o Solana a la misma velocidad.

Las lecciones estructurales:

  1. Las claves admin únicas siguen siendo inaceptables para protocolos de cualquier tamaño significativo en 2026. Volo había operado con éxito durante 18 meses con esta configuración — hasta el día en que el riesgo de la configuración los alcanzó.

  2. La ingeniería social de claves admin de protocolos se ha convertido en un patrón de ataque rutinario — no solo para objetivos de alto perfil como Bybit y Drift, sino para protocolos de tamaño medio en múltiples cadenas. El atacante no necesita comprometer el CI/CD del equipo o la infraestructura de firma; solo necesita hacer ingeniería social a una persona con el acceso relevante.

  3. La divulgación pública rápida correlaciona con recuperación rápida. El congelamiento de 30 minutos de $500K de Volo y la intercepción al día siguiente de $2,1M no habrían sido posibles sin un compromiso inmediato con los socios del ecosistema — compromiso que requería el reconocimiento público de la brecha. El modo silencioso de 24-48 horas que algunos operadores intentaban históricamente en esta etapa cuesta más recuperación de la que ahorra en daño reputacional.

Abril de 2026 fue, en general, el peor mes DeFi registrado con más de $635M en pérdidas acumuladas. El incidente de Volo de $3,5M estaba en el extremo pequeño del recuento del mes — pero la rápida respuesta de contención y recuperación estaba en el extremo alto de la calidad de ejecución. La combinación se está convirtiendo en la base esperada para cualquier protocolo que quiera sobrevivir a un incidente de 2026.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/markets/2026/04/22/another-defi-protocol-loses-millions-in-hack-days-after-kelpdao-breach
  2. [02]banklesstimes.comhttps://www.banklesstimes.com/articles/2026/04/22/volo-protocol-confirms-3-5m-sui-vault-exploit-500k-already-frozen/
  3. [03]thecurrencyanalytics.comhttps://thecurrencyanalytics.com/stable-coins/volo-protocol-loses-3-5-million-in-vault-exploit-team-pledges-full-user-reimbursement-254311

Registros relacionados