Volo Protocol subisce un exploit da 3,5 milioni di dollari pochi giorni dopo la violazione di KelpDAO

Un nuovo attacco ha colpito il mondo della finanza decentralizzata, evidenziando come le vulnerabilità negli smart contract continuino a minare la fiducia in soluzioni basate su blockchain. L’ultimo episodio ha preso di mira Volo Protocol, una piattaforma costruita sulla blockchain Sui che offre “vault” collettivi in cui gli utenti depositano asset per strategie onchain finalizzate a generare rendimento.

L’attacco a Volo Protocol

All’inizio della settimana Volo Protocol ha confermato una violazione della sicurezza che ha sottratto circa 3,5 milioni di dollari in asset digitali da tre dei suoi vault. La piattaforma ha precisato che gli altri vault, con un valore totale bloccato pari a circa 28 milioni di dollari, non risultano compromessi.

Volo Protocol ha dichiarato:

“The ~$28M in TVL across all other Volo vaults is safe. The exploit was isolated to 3 specific vaults, and we have confirmed no shared attack vector exists with the remaining vaults.”

La falla ha interessato vault che detenevano WBTC (wrapped bitcoin), il token digitale rappresentante l’oro di Matridock XAUm e la stablecoin ancorata al dollaro USDC. In via precauzionale la piattaforma ha bloccato tutte le attività dei vault e ha avviato un’indagine congiunta con la Sui Foundation e investigatori onchain per rintracciare i fondi e limitare i danni.

Volo Protocol ha inoltre dichiarato:

“We are prepared to absorb the financial loss rather than pass it on to users.”

Azioni immediate e stato delle risorse

Come risultato delle attività investigative e grazie alla collaborazione con partner dell’ecosistema, sono stati “congelati” circa 500.000 dollari di asset, ossia risorse immobilizzate onchain per impedirne la movimentazione. Gran parte dei fondi sottratti, tuttavia, rimane ancora oggetto di indagine.

La scelta di assorbire la perdita da parte del protocollo, anziché trasferirla agli utenti, riflette una strategia volta a preservare la fiducia nella piattaforma, ma solleva interrogativi sulla capacità complessiva dell’ecosistema DeFi di gestire rischi sistemici e responsabilità finanziarie.

Contesto: altri exploit e impatti a catena

L’attacco a Volo Protocol segue a breve distanza quello subito dal KelpDAO, in cui un attaccante ha creato minting artificiale di token di restaking liquido non collateralizzati, noti come rsETH, causando la fuoriuscita di milioni di dollari. Episodi simili negli ultimi mesi hanno provocato ondate di prelievi e tensioni in protocolli di credito come Aave, con utenti che hanno ritirato fondi per timore di contagio.

Stime di mercato indicano che, complessivamente, la finanza decentralizzata ha subito perdite nell’ordine di miliardi a causa di attacchi e exploit: cifre aggregate riportano circa 7,78 miliardi di dollari sottratti tramite attacchi diretti ai protocolli e ulteriori 2,90 miliardi relativi a vulnerabilità nelle soluzioni di bridging che trasferiscono asset tra blockchain. La somma di queste perdite supera i 10 miliardi di dollari, una scala che sottolinea i rischi persistenti del settore.

I casi ricorrenti mettono in luce due problemi strutturali: la complessità crescente delle strategie onchain e la possibile discrepanza tra l’afflusso di capitali verso progetti DeFi e gli investimenti destinati alla sicurezza e alla revisione del codice.

Prospettive e azioni future

Volo Protocol ha annunciato l’intenzione di pubblicare un post-mortem dettagliato al termine delle indagini e al completamento delle misure di remediation. La trasparenza su cause e rimedi sarà cruciale per ricostruire fiducia tra utenti e potenziali investitori.

Per l’ecosistema più ampio, la sequenza di exploit evidenzia la necessità di standard di audit più severi, meccanismi assicurativi adeguati e pratiche operative che possano mitigare il rischio di attacchi complessi. Inoltre, la capacità delle fondazioni e dei team di progetto di coordinarsi velocemente nelle fasi post-attacco diventerà un elemento chiave per limitare impatti reputazionali ed economici.

Considerazioni per investitori e utenti

Gli investitori retail e istituzionali devono valutare non solo il rendimento prospettato da strategie onchain complesse, ma anche la qualità degli audit, la storia operativa dei team e l’esistenza di piani di contingenza finanziaria. Per gli utenti, la diversificazione e la consapevolezza dei rischi tecnologici restano misure prudenziali fondamentali.

In sintesi

• La ripetizione di exploit mette a rischio la percezione di affidabilità della DeFi, influenzando flussi di capitale e possibile accesso a investitori istituzionali più cauti.
• La distanza tra capitale introdotto nel settore e risorse dedicate alla sicurezza software potrebbe aumentare il premio di rischio richiesto dagli investitori, rendendo più costose le operazioni e la raccolta fondi per i progetti italiani ed europei.
• Per il mercato italiano, una maggiore regolamentazione tecnica e standard di audit comuni potrebbe favorire la selezione di progetti più resilienti e attirare investimenti orientati alla qualità e alla compliance.