Cryptonews

Сеть Sui, пострадавшая от шестизначной эксплойта, протокол Scallop теряет более 140 000 долларов из-за хакеров

Источник
cryptonewstrend.com
Опубликовано
Сеть Sui, пострадавшая от шестизначной эксплойта, протокол Scallop теряет более 140 000 долларов из-за хакеров

Оглавление Платформа кредитования DeFi, работающая в сети Sui, протокол Scallop, подверглась взлому безопасности, в результате которого в воскресенье было украдено токенов SUI на сумму около 142 000 долларов США после использования устаревшего смарт-контракта с вознаграждениями. 🚨 УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТЕ БЕЗОПАСНОСТИ Мы обнаружили эксплойт, затрагивающий побочный контракт, связанный с пулом вознаграждений за спулинг sSUI компании Scallop, что привело к потере примерно 150 000 SUI. Соответствующий контракт был заморожен. Наши основные контракты остаются в безопасности, и только пул вознаграждений sSUI… — Scallop (@Scallop_io) 26 апреля 2026 г. Инцидент безопасности произошел 26 апреля 2026 г., когда Scallop обнародовал информацию о нарушении в 12:50 UTC посредством объявления на X (ранее Twitter). Вместо того, чтобы поставить под угрозу инфраструктуру основного протокола, злоумышленник сосредоточил свою атаку на устаревшем вспомогательном контракте, подключенном к спулу sSUI Scallop — механизму распределения вознаграждений, разработанному для вкладчиков токенов SUI. Уязвимый смарт-контракт представлял собой пакет спула V2, который был развернут в ноябре 2023 года, то есть на момент эксплуатации ему было более 17 месяцев. В сети Sui смарт-контракты после развертывания становятся неизменяемыми. Предыдущие версии остаются активными и доступными, пока разработчики не реализуют явные ограничения доступа на основе версий. Эта архитектурная особенность позволила устаревшему контракту сохраниться как уязвимость, которую можно использовать. Критическая слабость безопасности заключалась в неинициализированной переменной с именем «last_index». Этот параметр предназначен для отслеживания накопленных вознаграждений участников системы стейкинга. Поскольку эта переменная никогда не инициализировалась должным образом во время создания новой учетной записи, злоумышленник мог присоединиться к пулу и получать вознаграждения, как если бы он участвовал с самого начала. Злоумышленник поставил около 136 000 токенов sSUI. За предыдущие 20 месяцев индекс спула вырос примерно до 1,19 миллиарда. Это несоответствие позволило злоумышленнику распределить себе примерно 162 триллиона наградных баллов. Поскольку система распределения вознаграждений работала на основе соотношения обмена один к одному, весь баланс в размере 150 000 SUI был извлечен в рамках одной транзакции блокчейна. Записи блокчейна показывают хеш транзакции 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL, документирующий вывод средств в цепочке. После кражи украденные активы были быстро переданы через протокол микширования Sui, ориентированный на конфиденциальность, аналогичный Tornado Cash, что значительно усложнило усилия по восстановлению. Команда разработчиков Scallop действовала оперативно и заморозила скомпрометированный контракт в течение нескольких минут после обнаружения эксплойта. Важно отметить, что основная инфраструктура кредитования и заимствования не была приостановлена. Депозиты клиентов на всех других рынках Scallop оставались полностью защищенными. Руководство протокола подтвердило, что они покроют 100% финансовых потерь за счет казначейских резервов. Никакого снижения доходности пользователей в результате этого инцидента не произойдет. К 14:42 UTC Scallop повторно активировал основные контракты. Стандартные функции вывода и внесения депозитов были восстановлены в нормальном режиме менее чем через два часа с момента первоначального нарушения. Впоследствии злоумышленник инициировал контакт с командой разработчиков, предложив вернуть 80% украденных средств в обмен на признание в качестве белого хакера с соответствующей наградой. В настоящее время команда изучает, как эта уязвимость ускользнула от обнаружения в ходе предыдущих аудитов безопасности, проведенных OtterSec и MoveBit. Это нарушение безопасности последовало за аналогичным эксплойтом, нацеленным на протокол Volo в начале этого месяца, который привел к убыткам примерно в 3,5 миллиона долларов. В обоих инцидентах использовалась периферийная контрактная инфраструктура, а не механизмы основного протокола. В апреле 2026 года было зафиксировано 12 серьезных инцидентов безопасности, связанных с кражей криптовалюты на сумму более 600 миллионов долларов. К середине апреля совокупные убытки за месяц превысили 750 миллионов долларов. Kelp DAO и Drift Protocol вместе составили примерно 95% общих потерь апреля. Атака Kelp привела к возникновению безнадежных долгов на сумму 177 миллионов долларов на кредитной платформе Aave. Команда Скаллопа еще не опубликовала всеобъемлющий анализ после инцидента. Они объявили о планах провести исчерпывающую проверку безопасности всех оставшихся пакетов устаревших контрактов. На момент публикации ни Sui Foundation, ни Mysten Labs не сделали официального заявления относительно инцидента с безопасностью.