Всего через несколько дней после взлома KelpDAO хакер вывел около $3,5 млн из трёх пулов Volo Protocol, в которых хранились WBTC
WBTC$68,045+2.09%, XAUm и USDC
USDC$0.9998+0.01%. Инцидент вновь привлёк внимание к уязвимостям в смарт-контрактах DeFi-платформ.
Как хакер получил доступ к пулам Volo Protocol
Volo Protocol — это протокол децентрализованных финансов (DeFi), работающий на блокчейне. В ходе атаки злоумышленник получил доступ к трём отдельным пулам ликвидности — хранилищам средств, которые используются для предоставления ликвидности и заработка на комиссиях. В пулах находились три актива: WBTC (обёрнутый 
WBT$56.22+2.52%Биткоин
BTC$78,214+3.09%), XAUm (токенизированное золото) и стейблкоин USDC.
Напомним, что за последние 10 лет хакеры похитили криптоактивов на сумму $17 миллиардов, и атаки всё чаще смещаются на компрометацию приватных ключей.
Точная сумма потерь составила около $3,5 млн. Метод взлома пока не раскрыт, но, по предварительным данным, атака стала возможна из-за уязвимости в коде смарт-контрактов протокола. Разработчики Volo Protocol уже начали расследование и приостановили работу пулов.
Это второй крупный взлом протокола DeFi за последние дни — ранее атаке подвергся KelpDAO. Инциденты подчёркивают сохраняющиеся риски для пользователей децентрализованных финансов.
Почему взлом KelpDAO и Volo следуют один за другим
KelpDAO — ещё один протокол в сфере DeFi — был взломан всего за несколько дней до атаки на Volo. Детали взлома KelpDAO пока не раскрыты, но сам факт двух последовательных инцидентов вызывает тревогу у участников рынка. Эксперты по безопасности отмечают, что хакеры всё чаще нацеливаются на протоколы с низким уровнем аудита кода.
Это произошло на фоне того, что северокорейские хакеры за две недели украли более $500 млн, атаковав протоколы Drift и Kelp.
Пользователям DeFi-платформ рекомендуется временно выводить средства из пулов, если они не уверены в надёжности смарт-контрактов. Аудит безопасности (проверка кода сторонними экспертами) остаётся одним из главных критериев при выборе протокола для инвестиций.
Контекст: рост TVL привлекает хакеров
Взломы Volo и KelpDAO произошли на фоне общего роста активности в сегменте DeFi. Суммарная стоимость заблокированных средств (TVL) в протоколах децентрализованных финансов вновь приближается к историческим максимумам, что привлекает внимание злоумышленников. По данным аналитиков, только в 2024 году потери от взломов DeFi превысили $1 млрд.
При выборе площадки для фарминга доходности или стейкинга стоит отдавать предпочтение тем, кто прошёл аудит у признанных компаний (например, CertiK или Trail of Bits). Пока разработчики Volo Protocol не опубликовали план компенсации пострадавшим. Обычно в таких случаях протоколы либо возвращают средства через механизмы страхования, либо выпускают токены для возмещения убытков.
Останется ли Volo Protocol на плаву после потери $3,5 млн — или повторит судьбу проектов, которые закрывались после подобных атак?