Сообщение Gate News, 26 апреля — Scallop Protocol, платформа кредитования в блокчейне Sui, пострадала от эксплойта с флэш-кредитом, нацеленного на устаревший вспомогательный контракт, связанный с ее пулом вознаграждений sSUI, что привело к потере приблизительно $142,000 (150,000 SUI). Атака использовала манипуляции данными оракула по ценам, чтобы искусственно снизить котировки обмена SUI/USDC и заимствовать активы по искаженным ценам; при этом злоумышленник погасил флэш-кредит в рамках той же транзакции и присвоил разницу.
Ключевая проблема возникла из-за устаревшего контракта V2, развернутого в ноябре 2023 года и оставшегося вызываемым в сети. В этом устаревшем контракте критическая переменная под названием “last_index” никогда не инициализировалась при создании новых аккаунтов. Эта уязвимость позволила злоумышленнику заявлять о получении вознаграждений так, будто он стейкал с момента запуска пула. Поскольку индекс вознаграждений вырос до 1,19 млрд за 20 месяцев, злоумышленник застейкал 136 000 sSUI, но получил зачисление 162 трлн очков. Поскольку пул вознаграждений работал по курсу 1:1, эти очки напрямую конвертировались в 162 000 SUI стоимостью вознаграждений. В пуле было только 150 000 SUI, и все средства были выведены. Данные on-chain показывают, что похищенные средства были быстро перенаправлены через сервис миксинга, что усложнило попытки восстановления.
Команда Scallop отреагировала тем, что временно приостановила операции, прежде чем разморозить ключевые контракты и возобновить все процессы. Протокол подтвердил, что эксплойт был изолирован только в устаревшем контракте с вознаграждениями и не повлиял на основной протокол или пользовательские депозиты: все средства остались в безопасности. Затем злоумышленник связался с командой, предложив вернуть 80% похищенных средств в обмен на награду за обнаружение уязвимости в рамках white-hat, и инцидент теперь находится в расследовании. Команда рассмотрит, как эта уязвимость ускользнула от обнаружения во время предыдущих аудитов у компаний, включая OtherSec и MoveBit.
После эксплойта цена SUI сохраняла устойчивость: она выросла примерно на 2% в течение 24 часов после атаки и торговалась на уровне $0.94 при дневном объеме торгов около $187 million. Инцидент отражает более широкий тренд в апреле 2026 года, когда крупные эксплойты в DeFi нацеливались на устаревшие контракты и уровни инфраструктуры, а не на логику основного протокола: совокупные потери превысили $600 million в 12 крупных инцидентах в течение месяца.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Контракт Scallop по выводу V2 был использован злоумышленниками: после кражи 150 тыс. SUI объявлено о полной компенсации
Протокол децентрализованного кредитования Scallop в сети Sui Network 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что пострадал от атаки с использованием уязвимости. Злоумышленник извлек около 150,000 SUI из заброшенного контрактa наград, связанного с sSUI spool. Согласно официальному заявлению, основной пул ликвидности и средства пользователей не пострадали; протокол восстановил депозиты и выводы, и подтверждено, что компания полностью компенсирует все убытки за счет собственных средств.
MarketWhisper42м назад
22-летний приговорен к 70 месяцам за $263M кражу криптовалюты и отмывание средств
## Назначение наказания и обвинения
Житель Калифорнии Эван Тангеман, 22 года, в пятницу был приговорен к 70 месяцам федеральной тюрьмы за свою роль в отмывании доходов от межштатной схемы краж криптовалют, которая похитила примерно $263 миллионов цифровых активов у жертв, согласно Министерству США по…
CryptoFrontier5ч назад
Лайткоин переносит глубокую реорганизацию блокчейна после эксплойта уязвимости нулевого дня в MWEB-слое конфиденциальности
Сообщение Gate News, 26 апреля — Лайткоин во второй половине дня в субботу перенёс глубокую реорганизацию блокчейна после того, как злоумышленники использовали уязвимость нулевого дня в его модуле конфиденциальности MimbleWimble Extension Block (MWEB), согласно
GateNews5ч назад
Адрес, связанный с Аві Айзенбергом, демонстрирует новую ончейн-активность, усиливая опасения по безопасности
Сообщение Gate News, 26 апреля — Платформа блокчейн-аналитики Arkham выявила возобновившуюся ончейн-активность с адреса, как полагают, связанного с Аві Айзенбергом, атакующим, который получил приблизительно $110 миллиона прибыли от эксплойта Mango Markets 2022 года. Ранее Айзенберг был приговорен
GateNews7ч назад
Протокол DeFi-кредитования Sui 受 взлому: Scallop, уязвимость в старом контракте привела к краже 150 000 SUI
Scallop подвергся атаке в сети Sui: побочный контракт вовлёк связанный с ним пул наград sSUI, который был использован злоумышленниками; примерно 150000 SUI были украдены. Основной контракт безопасен, депозиты и вывод средств уже восстановлены. Официальное заявление касается только заброшенного (деактивированного) контракта с наградами; средства пользователей не пострадали. Бывший разработчик NEAR Vadim заявил, что источник уязвимости — устаревший пакет V2, выпущенный 17 месяцев назад: из-за того, что last_index не был инициализирован, награды накапливались с 2023 года; для исправления нужно добавить поле версии в общий объект и усилить проверки версий, чтобы исключить риски от устаревших пакетов.
ChainNewsAbmedia8ч назад
Scallop обнаруживает уязвимость в пуле вознаграждений sSUI, несет убытки 150K SUI, но обязуется полностью возместить
Сообщение Gate News от 26 апреля — Scallop, кредитный протокол в экосистеме Sui, объявил об обнаружении уязвимости во вспомогательном контракте, связанном с его пулом вознаграждений sSUI, что привело к потере примерно 150,000 SUI. Пострадавший контракт заморожен, и Scallop подтвердил
GateNews12ч назад
