Sui tabanlı likit staking platformu Volo Protocol Çarşamba günü yaptığı açıklamada, bir saldırganın üç farklı kasadan yaklaşık 3,5 milyon dolar çaldığını duyurdu. Bu gelişme, dokuz haneli saldırılarla sarsılan bir ayda merkeziyetsiz finans (DeFi) alanındaki en son güvenlik açığı olarak öne çıkıyor.
Volo, saldırıyı tespit ettikten sonra tüm kasalarda işlemleri dondurdu ve Sui Foundation’a haber verdi. Çalınan varlıklar arasında Wrapped Bitcoin (WBTC), altına endeksli XAUm ve USD Coin (USDC) yer aldı. Ekip, diğer kasalarda bırakılan toplam 28 milyon dolarlık kilitlenen değerin ise aynı saldırı vektöründen etkilenmediğini belirtti.
Volo Protocol Saldırısının Ayrıntıları
Volo, Çarşamba sabahı X’te yaptığı açıklamada yaşanan olayı bir güvenlik ihlali olarak tanımladı. Yalnızca üç kasa doğrudan etkilenirken, ekibin altını çizdiğine göre protokolün geri kalanında aynı açık söz konusu değil.
Proje ekibi, çalınan fonları izlemek ve geri almak amacıyla zincir üstü araştırmacılar ve ekosistem iş ortaklarıyla birlikte çalışıyor. İç incelemelerin tamamlanmasının ardından detaylı bir analiz raporu yayımlanacak.
Volo başlangıçta SUI tabanlı bir likit staking platformu olarak vSUI token’ı ile faaliyete başlamıştı. 2024’ün başlarında ise Sui borç verme protokolü NAVI tarafından satın alındı. Olayda hedef alınan kasa ürünleri, bu staking katmanının üzerinde çalışıyor ve getirili stratejiler için wrapped varlıkları ile stablecoin’leri teminat olarak kabul ediyor.
Volo ayrıca kullanıcıları kayıpların kendilerine yansıtılmayacağı konusunda rahatlatmaya çalıştı.
Volo ekibi şöyle belirtti: ‘Volo bu kaybı üstlenmeye hazır. Mümkün olan en üst düzey çabayı göstererek, kaybı kullanıcılarımıza yansıtmayacağız.’ dedi.
Protokol, zarar kontrolü tamamlandıktan sonra bir telafi planı açıklayacağını duyurdu ve kullanıcı güvenini yeniden inşa etmenin sözlerden çok, somut eylemler gerektirdiğinin altını çizdi.
DeFi’de Zor Bir Ay: Saldırılar Bitmiyor!
Volo’nun yaşadığı kayıp, merkeziyetsiz finansta nisan ayında peş peşe yaşanan büyük çaplı saldırılardan yalnızca biri. Solana tabanlı Drift Protocol 1 Nisan’da yaklaşık 285 milyon dolarını kaybetti. Elliptic’in aktardığına göre, bu saldırının arkasında Kuzey Kore bağlantılı bir ekip olduğu iddia ediliyor.
Bundan yalnızca üç hafta sonra restaking protokolü Kelp DAO, LayerZero köprüsündeki açıktan faydalanan saldırganlar tarafından 116.500 restaked ether (rsETH) — yaklaşık 292 milyon dolar — kaybetti. Bu süreçte Ethereum DeFi’nin toplam kilitli değeri %17’den fazla azaldı.
Yılın başlarında Balancer da bir saldırı sonucu 128 milyon doların üzerinde varlık kaybetti. Hedef alınan bir cüzdandaki drain işlemiyle ise bir bireysel yatırımcı Ethereum ve Arbitrum üzerinde toplamda 280 milyon dolardan fazla zarar yaşadı.
Sui ekosistemi de benzer krizlerle sınavda. Mayıs 2025’te Cetus kripto para borsası’nda tespit edilen bir açıkla saldırganlar yaklaşık 223 milyon dolar çalmıştı. Saldırının nedeni, yoğunlaştırılmış likidite havuzlarındaki bir hata olarak ortaya çıktı. Sui doğrulayıcıları ve topluluk, çalınan fonların büyük kısmını geri aldı. 2025’in sonlarına doğru Sui üzerindeki toplam kilitli değer 2,6 milyar doları aşarak ekosistemin saldırı yüzeyini genişletti. Artık saldırganlar daha çok kasa mantığına ve oracle bağımlılıklarına odaklanıyor.
Volo, 3,5 milyon dolarlık zararı dışarıdan bir destek almadan karşılayacağını taahhüt ediyor. Kullanıcılar, para çekme işlemleri yeniden açıldığında sonucu dikkatle takip edecek. Kapsamlı analiz, sorunun temel nedeni ve başka açıkların olup olmadığını aydınlatacak. Bu bulgular, Sui DeFi ekosistemine olan güveni ciddi biçimde etkileyebilir.
