Una clave privada comprometida dejó expuestos los fondos de los usuarios de Volo, la plataforma de liquid staking de Sui que aún no logra recuperar 1,5 millones de dólares
El ecosistema de liquid staking de Sui ha sufrido un duro golpe. Una de sus plataformas, Volo Protocol, fue hackeada y sus usuarios todavía esperan recuperar 1,5 millones de dólares que siguen sin aparecer.
Esta vez no se trató de un hackeo que vulneró un contrato inteligente o un error en la blockchain en cuestión. Sino que fue algo un poco más simple: una clave privada comprometida. Dejando diezmada la confianza hacia el protocolo.
📋 Community Status Report – Volo Protocol
— Volo (@volo_sui) April 22, 2026
We want to provide our community with a full and honest account of where things stand following yesterday's security incident.
We owe you clarity, and we are committed to providing it every step of the way.
1. Cause of the Hack
Our…
Lo sucedido
Según lo declarado por Volo, el ataque fue dado gracias al compromiso de una clave privada. El atacante accedió a los Vaults afectados a través de este vector, sin explotar ninguna vulnerabilidad en los contratos inteligentes ni en la infraestructura de Sui, que funcionó correctamente en todo momento.
El total robado por los atacantes asciende a aproximadamente 3,5 millones de dólares. La investigación técnica completa sigue en curso y se publicará una vez que concluya.
El equipo accionó lo más rápido posible, logrando congelar aproximadamente 2 millones de dólares en coordinación con la Fundación Sui y socios del ecosistema. Un resultado positivo que demuestra la capacidad de respuesta rápida del ecosistema. No obstante, 1,5 millones de dólares siguen sin ser recuperados. Dinero que pertenece a los usuarios que confían y utilizan la plataforma día a día.
Aún hay mucha incertidumbre sobre cuándo ni cómo recibirán esos fondos de vuelta.
El protocolo afirma estar “totalmente preparado” para compensar a cada usuario afectado, asegurando que ninguno quedará perjudicado económicamente. Pero hasta que los fondos sean efectivamente devueltos, esa premisa es solo una promesa.
El problema de fondo: claves privadas y liquid staking
El liquid staking implica que los usuarios depositan sus activos en un protocolo para recibir rendimientos, confiando en que ese protocolo custodia sus fondos de forma segura. Cuando la seguridad falla por una clave privada comprometida, el problema no es técnico sino humano, y eso es mucho más difícil de auditar y prevenir.
Este tipo de vectores de ataque son conocidos y prevenibles con medidas como multifirma, hardware wallets y rotación periódica de claves. La pregunta que queda abierta es por qué esas medidas no fueron suficientes en este caso, algo que el informe técnico prometido deberá responder.
Conclusión
Volo Protocol mantiene firme su promesa de ser transparentes con todo el proceso de investigación y reembolso. El ecosistema y sus usuarios esperan atentos a las nuevas novedades que vayan surgiendo.
Nuevamente se pone sobre la mesa la vulnerabilidad del factor humano. ¿Hasta qué punto la descentralización protege a los usuarios cuando el punto débil no es el protocolo, sino quienes lo administran?