Scallop Protocol stracił 142 tys. dolarów w wyniku ataku flash loan połączonego z manipulacją wyroczni

Scallop Protocol zostało zaatakowane przez exploit flash loan w niedzielę. Atakujący podobno wypłacił około 142 000 USD (150 000 SUI) w tym, co wygląda na wysoce ukierunkowany atak manipulacji wyroczni. Ten atak nie dotknął głównych kontraktów protokołu, ale ujawnił głębszą wadę projektową.

Atakujący podobno wykorzystał przestarzały kontrakt poboczny powiązany z pulą nagród sSUI Scallop. Zespół zapewnia, że główny protokół pozostaje nienaruszony, a wszystkie depozyty użytkowników są bezpieczne. Jednak strata jest w pełni ograniczona do tej izolowanej części.

Stary kod czy wada wyroczni?

Analitycy sugerują, że głównym problemem była manipulacja niestandardowymi kanałami cen wyroczni Scallop. Umożliwiło to atakującemu sztuczne obniżenie kursów SUI/USDC i pożyczanie aktywów po tych zniekształconych cenach. Następnie spłacił flash loan w ramach tej samej transakcji. W końcu podejrzany odszedł z różnicą.

Odpowiada to znajomemu wzorcowi ataku DeFi; jednak wykonanie w tym przypadku było wyjątkowo precyzyjne. Atakujący nie celował w aktywny kod ani standardowe trasy SDK. Wchodzili w interakcję ze starszym kontraktem V2 z listopada 2023 roku. Była to wersja, która została porzucona, ale pozostała wywoływalna on-chain. Sui przechowuje wszystkie wdrożone wersje kontraktów jako niezmienne i dostępne. Dlatego ten przestarzały pakiet stał się ukrytą powierzchnią ataku.

Cena Sui nie ucierpiała po exploicie. W ciągu ostatnich 24 godzin wzrosła o prawie 2%. Sui jest notowane po 0,94 USD w chwili publikacji. Jego 24-godzinny wolumen obrotu oscyluje wokół 187 milionów USD.

Ekspert w poście wspomniał, że sama wada była subtelna, ale poważna. W przestarzałym kontrakcie kluczowa zmienna "last_index" nigdy nie była inicjowana podczas tworzenia nowego konta. Pozwoliło to atakującemu na zgłaszanie nagród tak, jakby stakował od początku istnienia puli.

Ponieważ indeks nagród rósł z czasem, atakujący zdołał przypisać sobie całą pulę nagród w jednej transakcji. Wspomniał, że indeks Spool urósł do 1,19 mld w ciągu 20 miesięcy. 

Atakujący zestakował 136 tys. sSUI i otrzymał 162 biliony punktów. Jednak pula nagród działała przy kursie wymiany 1:1 (licznik i mianownik oba = 1), więc 162 bln punktów zostało bezpośrednio przeliczone na nagrody o wartości 162 tys. SUI. Pula miała tylko 150 tys. SUI i wszystkie zostały wyczerpane.

Dane on-chain pokazują, że skradzione środki zostały szybko przekierowane przez usługę miksowania, podobną do Tornado Cash na Sui. To sprawia, że odzyskanie środków jest jeszcze trudniejsze.

Scallop wznawia działalność po ataku

Zespół Scallop zareagował tymczasowym wstrzymaniem operacji. Następnie poinformował, że odblokował główne kontrakty i wszystkie operacje zostały wznowione. Post na X podkreślił, że problem nie był związany z głównym protokołem i był izolowany do przestarzałego kontraktu nagród. Ostatecznie depozyty użytkowników nie zostały naruszone, a wszystkie środki pozostają bezpieczne. Wypłaty i depozyty działają teraz normalnie.

Atakujący podobno skontaktował się z zespołem i zaproponował zwrot 80% środków w zamian za nagrodę white-hat. Incydent jest obecnie badany. Zespół sprawdzi, w jaki sposób wada przeszła przez wcześniejsze audyty przeprowadzone przez firmy takie jak OtterSec i MoveBit.

Cryptopolitan poinformował, że wiele poważnych incydentów z kwietnia 2026 roku nie wynikało z logiki głównego protokołu. Wyłoniły się ze starych kontraktów, adapterów lub warstw infrastruktury, które pozostają dostępne, ale pomijane. Skumulowane straty przekroczyły 750 milionów USD w połowie kwietnia. Tylko kwiecień 2026 roku odpowiada za ponad 600 milionów USD skradzionych środków w 12 poważnych incydentach. 

Kelp DAO i Drift Protocol łącznie odpowiadają za około 95% strat w kwietniu. Atak na Kelp spowodował 177 milionów USD złych długów na Aave. Tymczasem Rada Bezpieczeństwa Arbitrum skutecznie zamroziła 30 766 ETH (o wartości około 71 milionów USD) skradzionych środków.

Hyperliquid nadal jest największym tokenem w kategorii DeFi. Cena HYPE wzrosła o 10% w ciągu ostatnich 30 dni. W chwili publikacji jest notowany po 41,95 USD. Chainlink zajmuje 2. miejsce. LINK był notowany w okolicach 9,4 USD.

Twój bank używa Twoich pieniędzy. Ty dostajesz resztki. Obejrzyj nasze bezpłatne wideo o tym, jak stać się własnym bankiem