Platform liquid staking berbasis Sui, Volo Protocol, mengumumkan pada hari Rabu bahwa seorang penyerang telah menguras sekitar US$3,5 juta dari tiga vault miliknya. Ini menjadi pelanggaran keamanan DeFi terbaru di bulan yang sudah diguncang oleh aksi eksploitasi senilai ratusan juta dolar.
Volo membekukan seluruh vault setelah mendeteksi serangan tersebut dan segera memberi tahu Sui Foundation. Aset yang dicuri meliputi Wrapped Bitcoin (WBTC), XAUm yang didukung emas, serta USD Coin (USDC). Tim menyampaikan bahwa sisa total value locked senilai US$28 juta di vault lain tidak memiliki vektor serangan yang sama.
Di Balik Eksploitasi Volo Protocol
Volo menggambarkan insiden ini sebagai peristiwa keamanan dalam pernyataan yang diposting di X pada Rabu pagi. Hanya tiga vault yang terkena dampak, dan tim menegaskan bahwa bagian lain dari protokol ini tidak berbagi kerentanan yang sama.
Proyek ini tengah bekerja sama dengan penyelidik on-chain dan mitra dalam ekosistem untuk melacak dan memulihkan dana yang dicuri. Pengumuman lengkap (post-mortem) akan dipublikasikan setelah tinjauan internal selesai.
Pada awalnya, Volo diluncurkan sebagai platform liquid staking SUI khusus, serta menerbitkan token Volo Staked SUI (vSUI), sebelum akhirnya diakuisisi oleh protokol peminjaman Sui, NAVI, di awal 2024. Produk vault yang menjadi target insiden ini berada di atas layer staking tersebut dan menerima wrapped asset serta stablecoin sebagai jaminan dalam strategi yield.
Volo juga berupaya meyakinkan pengguna bahwa kerugian ini tidak akan dibebankan kepada mereka.
“Volo siap menanggung kerugian ini. Kami akan berusaha sebaik mungkin agar tidak membebankan ini kepada para pengguna kami,” terang tim Volo, dalam pernyataannya.
Protokol tersebut menyampaikan bahwa rencana perbaikan akan diumumkan setelah operasi pengendalian kerusakan selesai, sembari menambahkan bahwa membangun ulang kepercayaan pengguna bergantung pada tindakan nyata, bukan sekadar janji.
Pukulan Terbaru di Bulan Brutal untuk DeFi
Kerugian Volo terjadi setelah serangkaian insiden besar di bulan April yang telah mengguncang decentralized finance. Protokol Drift berbasis Solana kehilangan sekitar US$285 juta pada 1 April, yang menurut Elliptic terkait dengan operasi infiltrasi dari Korea Utara.
Kurang dari tiga minggu kemudian, protokol restaking Kelp DAO terkuras 116.500 restaked ether (rsETH) senilai sekitar US$292 juta melalui bridge LayerZero yang berhasil dikompromikan. Sejak saat itu, sektor DeFi Ethereum telah kehilangan lebih dari 17% total value locked-nya.
Balancer juga kehilangan lebih dari US$128 juta akibat eksploitasi di awal tahun. Salah satu investor individu juga kehilangan lebih dari US$280 juta di Ethereum dan Arbitrum akibat wallet yang menjadi target drain.
Ekosistem Sui pun sudah pernah menghadapi krisis serupa sebelumnya. Penyerang mengeksploitasi exchange Cetus sekitar US$223 juta pada Mei 2025. Celah pada liquidity pool terpusat memungkinkan serangan ini terjadi. Validator Sui dan komunitas berhasil memulihkan sebagian besar dana yang dicuri. Nilai total value locked di Sui bahkan sempat melampaui US$2,6 miliar pada akhir 2025. Pertumbuhan ini memperbesar peluang serangan bagi para pelaku eksploitasi. Kini, penyerang semakin sering mengincar logika vault dan ketergantungan oracle.
Volo berjanji akan menanggung kerugian sebesar US$3,5 juta tanpa bantuan luar. Para deposan akan memantau dengan seksama saat penarikan dibuka kembali. Pengumuman post-mortem seharusnya bisa menjelaskan akar masalahnya. Hal ini akan membuktikan apakah bug yang ada bersifat terisolasi atau sistemik. Temuan ini bisa berdampak pada tingkat kepercayaan di dalam ekosistem DeFi Sui.
