Scallop, rynek pieniężny na Sui Network, stracił około 150 000 SUI w niedzielę po tym, jak atakujący opróżnił przestarzały kontrakt nagród powiązany z pulą sSUI protokołu.
Zespół zamroził dotknięty kontrakt w kilka minut i obiecał pełny zwrot środków z własnego skarbca. Kluczowe operacje wznowiły działanie w mniej niż dwie godziny.
Kolejny atak na Sui dotyczy kodu pobocznego, a nie głównego protokołu
Scallop ujawnił incydent o 12:50 UTC 26 kwietnia w publicznym komunikacie na X. Atakujący wycelował w dodatkowy kontrakt obsługujący nagrody dla puli sSUI. Ta pula to warstwa motywacyjna protokołu dla deponentów SUI.
Zespół natychmiast zamroził dotknięty kontrakt. Główne pule lendingowe i pożyczkowe pozostały nietknięte. Depozyty użytkowników były bezpieczne na wszystkich innych rynkach Scallop.
Po dwóch godzinach Scallop potwierdził zdjęcie blokady z kluczowych kontraktów. Wypłaty i wpłaty wznowiono o 14:42 UTC.
Większość użytkowników sieci Sui nie ucierpiała z powodu porannych wydarzeń.
“Scallop w pełni pokryje 100% strat.”
Przestarzały kod pakietu z 2023 roku stał za atakiem
Niezależna analiza on-chain wskazuje na przestarzały pakiet spool v2 jako punkt wejścia. Scallop opublikował kod w listopadzie 2023 roku, ponad 17 miesięcy przed atakiem. W Sui wdrożone pakiety są niezmienne. Stare wersje pozostają dostępne, chyba że ktoś jawnie je ograniczy wersją.
Błąd dotyczył niezainicjalizowanego licznika last_index, który śledzi skumulowane nagrody dla stakerów. Atakujący zdeponował około 136 000 sSUI, aby wykorzystać ten błąd.
Obliczenia traktowały tę pozycję tak, jakby istniała od startu puli w sierpniu 2023 roku.
Indeks puli osiągnął blisko 1,19 mld przez 20 miesięcy. To pozwoliło atakującemu zebrać około 162 bln punktów nagród. Odkupił je jeden do jednego za 150 000 SUI z puli nagród.
Hash transakcji 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL dokumentuje on-chain dowód tego drainu.
Znany schemat w Sui DeFi
To kolejne zdarzenie po serii ataków na Sui w ostatnich tygodniach. Volo Protocol utracił około 3,5 mln USD na początku miesiąca w podobnym incydencie z kodem pobocznym. Każdy przypadek celował w kontrakty dodatkowe zamiast logiki głównego protokołu.
Incydent nastąpił tydzień po dużym ataku na most w sieci Ethereum, który spowodował emisję około 292 mln USD niepokrytych płynnych tokenów restakingowych. Obie sytuacje miały miejsce w weekend, gdy płynność jest mała, a reakcje wolniejsze.
Żadna z organizacji Sui Foundation ani Mysten Labs nie wydała jeszcze publicznego oświadczenia.
Dla Scallop szkody finansowe wydają się jednak ograniczone. Protokół potwierdził, że sam pokryje całą stratę, nie zmniejszając przy tym zysków użytkowników.
Zespół nie opublikował jeszcze pełnej analizy po incydencie, ale najprawdopodobniej przygotuje kompleksowy audyt wszystkich pozostałych starszych pakietów. Kształtować to będzie dalszą reakcję społeczności Sui DeFi.
Poważniejsze pytanie dotyczy tego, jak budowniczowie na Sui powinni zarządzać niezmiennym kodem i zapomnianymi powierzchniami ataku.
