Sui(レイヤー1ブロックチェーン)上のリキッドステーキングプロトコルであるVolo Protocolにおいて、約350万ドルの資産が不正に流出する事案が発生しました。運営チームは被害発覚後、直ちに全てのVault(資産を運用・保管するスマートコントラクト上の金庫)を凍結し、発生した損失はプロトコル側で全額負担する方針を明らかにしています。この出来事は、DeFi(分散型金融)業界でセキュリティインシデントが相次ぐ中で発生しており、迅速な事後対応とユーザー保護の姿勢が注目されています。
被害の概要と対象となった資産
今回の不正流出(エクスプロイト)は、Volo Protocolが提供する特定のVaultを標的に行われました。被害を受けたのは、Wrapped Bitcoin(WBTC)、金に裏付けられたトークンであるXAUm、およびステーブルコインのUSDCを保管していた3つのVaultです。
流出額は約350万ドルに上りますが、プロトコル内の他のVaultに預け入れられている約2800万ドルのTVL(預かり資産総額)については、今回の脆弱性の影響を受けておらず、安全であると報告されています。運営チームによると、被害に遭ったVaultと他の製品では攻撃の糸口(アタックベクター)が共有されていないため、リスクの拡散は限定的と見られています。
迅速な資産凍結と復旧に向けた取り組み
Volo Protocolのチームは異常を検知した後、30分以内に約50万ドル相当の資産(19.6 WBTCを含む)を凍結することに成功したと発表しました。この対応にあたっては、Sui Foundationやエコシステム内のパートナー、オンチェーン調査機関と緊密に連携しており、盗難資産が他のチェーンへブリッジ(移動)されるのを防ぐ措置が講じられています。
現在、全てのVaultは調査と修正のために凍結状態が維持されており、詳細な事後報告書(ポストモーテム)の作成と、安全な再開に向けた修復計画の策定が進められています。攻撃者の特定や具体的な技術的脆弱性の原因については、現時点では公開されていません。
ユーザー資産の保護と業界への影響
Volo Protocolは、今回の不正流出による損失をユーザーに転嫁せず、プロトコル自身が吸収(補填)することを公式に表明しました。同プロトコルは2024年初頭にSuiのレンディングプロトコルであるNAVIによって買収されていますが、今回の対応はユーザーの信頼維持を最優先としたものと見られます。
DeFi業界では2026年4月に入り、Kelp DAOやDrift Protocolなど、他の主要なプロトコルでも大規模な不正流出が相次いで報告されています。Volo Protocolにおける今回の事案は、ネットワークの成長に伴い攻撃対象(アタックサーフェス)が拡大している現状を浮き彫りにしており、今後のセキュリティ対策の強化が業界全体の課題となっています。
ポイント
- Volo Protocolの3つのVaultから約350万ドル相当の暗号資産が流出した。
- 被害資産にはWBTC、XAUm、USDCが含まれるが、他のVaultにある約2800万ドルの資産は安全とされる。
- 運営チームは発生した損失を全額補填する方針を固めており、ユーザーの負担を回避する姿勢を示している。
- 発生から30分以内に約50万ドルの資産凍結に成功しており、現在はSui Foundation等と連携して資産回収を継続している。
- DeFi業界全体でセキュリティインシデントが頻発する中、迅速な初期対応と透明性のある補填方針が、信頼回復の鍵として注目される。