Контракт Scallop по выводу V2 был использован злоумышленниками: после кражи 150 тыс. SUI объявлено о полной компенсации

Sui Network децентрализованный кредитный протокол Scallop 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что подвергся атаке через уязвимость: злоумышленник извлёк около 150,000 SUI из заброшенного контрактa вознаграждений, связанного с sSUI spool. Согласно официальному заявлению, основной пул капитала и пользовательские депозиты не пострадали; протокол восстановил снятие и пополнение, и подтверждено, что все потери будут компенсированы в полном объёме за счёт средств компании.

Хронология события и официальная реакция Scallop

Согласно сообщению Scallop на официальной X-платформе (26 апреля 12:50 UTC), целью атаки стал вспомогательный контракт вознаграждений sSUI spool — это стимулирующий слой протокола для участников, вносящих депозиты в SUI, а не логика основного кредитования. Команда Scallop заморозила затронутые контракты в течение нескольких минут после инцидента; основной контракт был заморожен до разблокировки в течение двух часов, а снятие и пополнение возобновились в 14:42 UTC.

В официальном заявлении Scallop говорится: «Scallop полностью компенсирует 100% потерь».

Технический анализ уязвимости: неинициализированный счётчик из заброшенного пакета за 2023 год

（Источник：Vadim）

Согласно независимому on-chain анализу, точкой входа для атаки стал заброшенный V2 spool-пакет, развернутый Scallop в ноябре 2023 года; с момента возникновения этой атаки прошло более 17 месяцев. В технической архитектуре Sui Network развернутые пакеты изменить нельзя; если явно не настроен контроль версий, старые версии всё ещё могут вызываться.

Злоумышленник обнаружил в пакете неинициализированный счётчик last_index. Этот счётчик используется для отслеживания накопленных наград стейкеров. Злоумышленник поставил около 136,000 sSUI, а система расценила эту позицию как существующую с тех пор, как spool был запущен в августе 2023 года. После примерно 20 месяцев экспоненциального накопления индекс spool вырос до примерно 1.19 миллиарда, в результате злоумышленник получил около 162 трлн наградных баллов и обменял их в соотношении 1:1 на 150,000 SUI.

On-chain записи транзакций можно запросить по хэшу: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL

Недавние инциденты с уязвимостями в Sui DeFi

Согласно публичным сообщениям, в начале апреля 2026 года на Sui Network произошла схожая атака на протокол Volo: целью также стали вспомогательные контракты, а не логика основной части протокола, потери составили около 3.5 млн долларов. Кроме того, за неделю до инцидента в сети Ethereum произошло событие, связанное с мостовой атакой: было украдено около 2.92 млрд долларов безобеспеченной токенизированной повторной закладки ликвидности.

По состоянию на момент публикации этого материала Sui Foundation и Mysten Labs не сделали публичных заявлений по инциденту Scallop. Согласно официальному описанию Scallop, протокол планирует провести полный аудит всех существующих старых версий пакетов; сроки аудита пока не определены.

Часто задаваемые вопросы

Каково время возникновения этой уязвимости и масштаб потерь?

Согласно официальному объявлению Scallop на X-платформе, атака произошла 26 апреля 2026 года (в воскресенье) в 12:50 UTC: злоумышленник извлёк около 150,000 SUI из заброшенного контракта вознаграждений sSUI spool. Основной пул средств для кредитования и депозиты пользователей на других рынках не пострадали.

Какие официальные обязательства Scallop принял в связи с этой атакой?

Согласно официальному заявлению Scallop, протокол заморозил затронутые контракты в течение нескольких минут после атаки и восстановил полную функциональность всех операций в 14:42 UTC (примерно через два часа после публикации объявления). Scallop подтверждает, что все потери будут полностью компенсированы за счёт средств компании, что доходы пользователей не пострадают, и что протокол планирует провести полный аудит всех существующих старых версий пакетов.

В чём заключалась основная техническая причина этой уязвимости и как она связана с технической архитектурой Sui Network?

Согласно независимому on-chain анализу, уязвимость возникла из неинициализированного счётчика last_index в заброшенном V2 spool-пакете, развернутом в ноябре 2023 года. В Sui Network развернутые пакеты неизменяемы; если явно не настроен контроль версий, старые версии всё ещё могут вызываться, что позволило злоумышленнику использовать заброшенный код более чем 17-месячной давности для извлечения 150,000 SUI.