Cryptonews

Уязвимости в устаревшем коде приводят к шатанию децентрализованных финансовых платформ: в этом месяце в результате череды громких взломов исчезло почти 606 миллионов долларов.

Источник
cryptonewstrend.com
Опубликовано
Уязвимости в устаревшем коде приводят к шатанию децентрализованных финансовых платформ: в этом месяце в результате череды громких взломов исчезло почти 606 миллионов долларов.

Оглавление Scallop, крупнейший протокол кредитования Sui, подвергся атаке 26 апреля 2026 года, в результате которой убытки составили около 140 000 долларов США. Атака была нацелена на устаревший контракт вознаграждений, а не на сам основной протокол. После взлома команда Scallop заморозила затронутые контракты, выявила уязвимость и возобновила работу. Депозиты пользователей не пострадали на протяжении всего инцидента. Это событие пополняет растущий список эксплойтов DeFi, зафиксированных только в апреле 2026 года. Эксплойт Scallop не нарушил основную инфраструктуру протокола. Вместо этого злоумышленник нашел дыру в старом, неиспользованном контракте на вознаграждение. Это различие имеет значение, поскольку оно показывает, как устаревший код со временем может стать обузой. Протоколы часто удаляют определенные компоненты, не удаляя их полностью из сети. 🚨 УВЕДОМЛЕНИЕ ОБ ИНЦИДЕНТЕ БЕЗОПАСНОСТИ Мы обнаружили эксплойт, затрагивающий побочный контракт, связанный с пулом вознаграждений за спулинг sSUI компании Scallop, что привело к потере примерно 150 000 SUI. Соответствующий контракт был заморожен. Наши основные контракты остаются в безопасности, и только пул вознаграждений sSUI… — Scallop (@Scallop_io) 26 апреля 2026 г. Scallop завершил полный аудит, проведенный Sui Foundation в феврале 2025 года. Несмотря на эту проверку, устаревший контракт оставался слабым звеном. Криптоаналитик Crypto Patel отметил на X, что «проверено не значит безопасно», указав в качестве примеров на Scallop и Kelp DAO. Kelp DAO потеряла 292 миллиона долларов, несмотря на то, что до взлома прошла две отдельные проверки. Команда Scallop быстро отреагировала, изолировав ошибку и приостановив соответствующие контракты. Вскоре после этого операции возобновились, и команда подтвердила, что никакие средства пользователей не подвергаются риску. Быстрое реагирование помогло локализовать ущерб только устаревшему компоненту. Тем не менее, этот инцидент привлек внимание к тому, что старые контракты все чаще используются в качестве векторов атак. В последние месяцы эта закономерность стала более распространенной в экосистеме Sui. Разработчики и исследователи безопасности начали отмечать неиспользованные контракты как растущую проблему. Протоколы, которые оставляют устаревшие компоненты активными без надлежащей деактивации, сталкиваются с повышенным риском. Дело Скаллопа служит практическим ориентиром для этого продолжающегося разговора. Апрель 2026 года оказался трудным месяцем для более широкого сектора DeFi. Убытки отрасли превысили 606 миллионов долларов, что сделало этот месяц худшим месяцем после инцидента с Bybit. Эксплойт Scallop — 13-е зарегистрированное нарушение DeFi в этом месяце. Такая частота указывает на системную проблему, с которой сталкиваются децентрализованные финансовые платформы. В частности, в сети Sui за последний год неоднократно происходили подобные инциденты. Cetus DEX потерял 223 миллиона долларов в мае 2025 года, за ним последовал Nemo Protocol, потерявший 2,4 миллиона долларов в сентябре 2025 года. Протокол Volo потерял 3,5 миллиона долларов 22 апреля 2026 года, всего за несколько дней до взлома Scallop. Эти инциденты отражают повторяющуюся картину уязвимостей в протоколах на основе Sui. Управление рисками стало актуальной темой среди участников DeFi. Crypto Patel рекомендовал избегать устаревших контрактов и регулярно снимать вознаграждения, а не оставлять их бездействующими. Распределение средств по нескольким протоколам вместо концентрации их на одной платформе также снижает риски. Мониторинг официальных объявлений протокола перед внесением депозитов добавляет еще один уровень защиты. Более широкое сообщество DeFi продолжает изучать способы улучшения процессов аудита. Прохождение аудита не гарантирует, что протокол не содержит кода, пригодного для эксплойтов, особенно в устаревших компонентах. Постоянные проверки безопасности, охватывающие устаревшие контракты, становятся рекомендуемой практикой. События апреля 2026 года, вероятно, определят, как протоколы будут подходить к управлению жизненным циклом контрактов в будущем.