Sui Network von Exploit im sechsstelligen Bereich betroffen, Scallop Protocol verliert über 140.000 US-Dollar an Hacker

Inhaltsverzeichnis Eine auf dem Sui-Netzwerk betriebene DeFi-Kreditplattform, das Scallop Protocol, erlitt einen Sicherheitsverstoß, der dazu führte, dass am Sonntag etwa 142.000 US-Dollar an SUI-Tokens gestohlen wurden, nachdem ein veralteter Belohnungs-Smart-Contract ausgenutzt wurde. 🚨 HINWEIS ZU SICHERHEITSVORFÄLLEN Wir haben einen Exploit identifiziert, der einen Nebenvertrag im Zusammenhang mit Scallops sSUI-Spool-Belohnungspool betrifft und zu einem Verlust von etwa 150.000 SUI führte. Der betroffene Vertrag wurde eingefroren. Unsere Kernverträge bleiben sicher und nur der sSUI-Belohnungspool … – Scallop (@Scallop_io) 26. April 2026 Der Sicherheitsvorfall ereignete sich am 26. April 2026, wobei Scallop den Verstoß um 12:50 UTC durch eine Ankündigung auf X (ehemals Twitter) öffentlich machte. Anstatt die primäre Protokollinfrastruktur zu kompromittieren, konzentrierte der Täter seinen Angriff auf einen veralteten Hilfsvertrag, der mit Scallops sSUI-Spool verbunden ist – einem Belohnungsverteilungsmechanismus, der für SUI-Token-Einzahler entwickelt wurde. Bei dem anfälligen Smart Contract handelte es sich um ein V2-Spool-Paket, das im November 2023 bereitgestellt wurde und somit zum Zeitpunkt der Ausnutzung über 17 Monate alt war. Im Sui-Netzwerk werden intelligente Verträge nach der Bereitstellung unveränderlich. Frühere Versionen bleiben aktiv und zugänglich, es sei denn, Entwickler implementieren explizite versionbasierte Zugriffsbeschränkungen. Dieses architektonische Merkmal ermöglichte es, dass der alte Vertrag als ausnutzbare Schwachstelle bestehen blieb. Die kritische Sicherheitslücke konzentrierte sich auf eine nicht initialisierte Variable namens „last_index“. Dieser Parameter dient dazu, die angesammelten Belohnungen für Teilnehmer am Stake-System zu überwachen. Da diese Variable bei der Erstellung eines neuen Kontos nie ordnungsgemäß initialisiert wurde, konnte der Angreifer dem Pool beitreten und Belohnungen extrahieren, als ob er von Anfang an dabei gewesen wäre. Der böswillige Akteur hat etwa 136.000 sSUI-Token eingesetzt. In den letzten 20 Monaten hatte sich der Spool-Index auf rund 1,19 Milliarden erhöht. Diese Diskrepanz ermöglichte es dem Angreifer, sich etwa 162 Billionen Belohnungspunkte zuzuteilen. Da das Belohnungsverteilungssystem auf einem Eins-zu-eins-Umtauschverhältnis basierte, wurde der gesamte Restbetrag von 150.000 SUI in einer einzigen Blockchain-Transaktion extrahiert. Blockchain-Aufzeichnungen zeigen den Transaktions-Hash 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL, der die Auszahlung in der Kette dokumentiert. Nach dem Diebstahl wurden die gestohlenen Vermögenswerte schnell über ein datenschutzorientiertes Mischprotokoll auf Sui übertragen, vergleichbar mit Tornado Cash, was die Wiederherstellungsbemühungen erheblich erschwerte. Das Entwicklungsteam von Scallop reagierte schnell und fror den kompromittierten Vertrag innerhalb von Minuten nach Entdeckung des Exploits ein. Wichtig ist, dass die Kerninfrastruktur für die Kreditvergabe und -aufnahme nicht ausgesetzt wurde. Kundeneinlagen in allen anderen Scallop-Märkten blieben vollständig geschützt. Die Führung des Protokolls bestätigte, dass sie 100 % des finanziellen Verlusts durch die Verwendung von Staatsreserven auffangen würde. Aufgrund dieses Vorfalls wird es zu keiner Reduzierung der Nutzerertragsraten kommen. Um 14:42 UTC hatte Scallop die Primärverträge reaktiviert. Die Standardabhebungs- und Einzahlungsfunktionalität wurde in weniger als zwei Stunden nach dem ersten Verstoß wiederhergestellt. Anschließend nahm der Angreifer Kontakt mit dem Entwicklungsteam auf und schlug vor, 80 % der gestohlenen Gelder im Austausch für die Anerkennung als White-Hat-Hacker mit einem damit verbundenen Kopfgeld zurückzugeben. Das Team untersucht derzeit, wie diese Schwachstelle bei früheren Sicherheitsüberprüfungen von OtterSec und MoveBit nicht entdeckt wurde. Dieser Sicherheitsverstoß folgt auf einen vergleichbaren Exploit, der Anfang des Monats auf das Volo-Protokoll abzielte und zu Verlusten in Höhe von etwa 3,5 Millionen US-Dollar führte. Bei beiden Vorfällen wurde die periphere Vertragsinfrastruktur und nicht die Kernprotokollmechanismen ausgenutzt. Im April 2026 kam es bei zwölf bedeutenden Sicherheitsvorfällen zu Kryptowährungsdiebstählen im Wert von über 600 Millionen US-Dollar. Bis Mitte April beliefen sich die kumulierten Verluste des Monats auf über 750 Millionen US-Dollar. Kelp DAO und Drift Protocol machten zusammen etwa 95 % der Gesamtverluste im April aus. Der Kelp-Angriff führte unabhängig dazu zu Forderungsausfällen in Höhe von 177 Millionen US-Dollar auf der Kreditplattform Aave. Scallops Team hat noch keine umfassende Analyse nach dem Vorfall veröffentlicht. Sie haben Pläne für eine umfassende Sicherheitsüberprüfung aller verbleibenden Legacy-Vertragspakete angekündigt. Zum Zeitpunkt dieser Veröffentlichung haben weder die Sui Foundation noch Mysten Labs eine offizielle Stellungnahme zu dem Sicherheitsvorfall abgegeben.