Gate News-Meldung, 26. April — Scallop Protocol, eine Kreditplattform auf der Sui-Blockchain, erlitt einen Flash-Loan-Exploit, der auf einen veralteten Side-Contract abzielte, der mit seinem sSUI-Rewards-Pool verknüpft ist, was zu einem Verlust von ungefähr $142,000 (150,000 SUI) führte. Der Angriff nutzte die Manipulation des Oracle-Preisfeeds, um die SUI/USDC-Kurswechsel künstlich zu drücken und Vermögenswerte zu verzerrten Preisen zu leihen, wobei der Angreifer den Flash-Loan innerhalb derselben Transaktion zurückzahlte und die Differenz einsteckte.
Das Kernproblem ging auf einen veralteten V2-Contract zurück, der im November 2023 bereitgestellt wurde und on-chain weiterhin aufrufbar blieb. In diesem veralteten Contract wurde eine kritische Variable namens “last_index” beim Erstellen neuer Konten nie initialisiert. Dieser Fehler ermöglichte dem Angreifer, Rewards einzufordern, als hätte er seit der Einführung des Pools gestaket. Da der Reward-Index über 20 Monate auf 1,19 Milliarden angewachsen war, stakete der Angreifer 136.000 sSUI, erhielt jedoch 162 Billionen Punkte gutgeschrieben. Da der Rewards-Pool mit einem 1:1-Umrechnungskurs lief, wurden diese Punkte direkt in 162.000 SUI an Rewards umgewandelt. Der Pool enthielt nur 150.000 SUI, und alle Mittel wurden abgezogen. On-chain-Daten zeigen, dass die gestohlenen Gelder schnell über einen Mixing-Dienst geleitet wurden, was die Wiederherstellung erschwert.
Das Team von Scallop reagierte, indem es die Abläufe vorübergehend pausierte, bevor es die Kern-Contracts wieder freischaltete und alle Operationen wieder aufnahm. Das Protokoll bestätigte, dass der Exploit auf den veralteten Rewards-Contract isoliert war und weder das Kernprotokoll noch die Einzahlungen der Nutzer betraf, wobei alle Mittel sicher blieben. Der Angreifer kontaktierte das Team anschließend und bot an, 80% der gestohlenen Mittel im Austausch gegen eine White-Hat-Bounty zurückzugeben, und der Vorfall wird nun untersucht. Das Team wird prüfen, wie der Fehler bei früheren Audits durch Firmen einschließlich OtherSec und MoveBit nicht erkannt wurde.
Der SUI-Preis blieb nach dem Exploit robust und stieg ungefähr 2% in den 24 Stunden nach dem Angriff, während er bei $0.94 gehandelt wurde, mit einem täglichen Handelsvolumen von rund $187 million. Der Vorfall spiegelt einen breiteren Trend im April 2026 wider, bei dem große DeFi-Exploits auf veraltete Contracts und Infrastruktur-Ebenen statt auf die Logik des Kernprotokolls abzielten, wobei die kumulierten Verluste $600 million über 12 große Vorfälle im Laufe des Monats überstiegen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Do Kwon zu 15 Jahren in den USA verurteilt: Terra-Kollaps löste Verluste von 40 Milliarden US-Dollar+ aus
Laut Digital Asset wurde Do Kwon, der Gründer von Terraform Labs, am 12. Dezember 2024 von einem US-Bundesrichter zu 15 Jahren Haft wegen Betrugs- und Geldwäschevorwürfen verurteilt. Kwon soll voraussichtlich etwa sechs Jahre verbüßen, bevor eine mögliche Auslieferung nach Südkorea erfolgt, im Anschluss an
GateNews2Std her
Bubblemaps: MYSTERY-Token zeigt Anzeichen für konzentrierte Kontrolle: 90 Wallets halten 90% der Gesamtmenge zum Start
Laut der On-Chain-Analyseplattform Bubblemaps zeigte der MYSTERY-Token bei der Einführung Anzeichen einer stark konzentrierten Kontrolle. Die Plattform beschrieb ihn als „Lehrbuch-Betrug“. Bubblemaps legte offen, dass sich bei Launch etwa 90 Wallets ungefähr 90% der Token-Zuteilung angehäuft haben und haben been
GateNews4Std her
Angreifer beim Wasabi-Protocol überweisen am 5. Mai 5,9 Mio. US-Dollar aus gestohlenen Geldern an Tornado Cash
Laut dem On-Chain-Analysten Specter haben Wasabi-Protocol-Angreifer gestohlene Gelder im Wert von ungefähr 5,9 Millionen US-Dollar am 5. Mai an Tornado Cash überwiesen und damit eine zentralisierte Coin-Mixing-Operation abgeschlossen. Die Mittel folgen einem mehrstufigen, komplexen Übertragungsweg, der frühere Verstöße bei KelpDAO und
GateNews7Std her
Ripple teilt die Erkenntnisse zur nordkoreanischen Hackeraktivität im Zusammenhang mit Kryptoangriffen, da sich die Angriffe zunehmend auf Social Engineering verlagern
Laut der Crypto-ISAC-Ankündigung am Dienstag teilt Ripple interne Erkenntnisse über nordkorea-verbundene Bedrohungsakteure mit dem Kryptosektor, darunter betrugsassoziierte Domains, Wallet-Adressen und Indikatoren für eine Kompromittierung aus jüngsten Hacking-Kampagnen.
Der Schritt folgt auf die 280 Millionen US-Dollar D
GateNews9Std her
ZachXBT: Tokenlon erleichterte Mittel der $45M Lazarus-Gruppe
Am 4. Mai 2026 veröffentlichte der On-Chain-Ermittler ZachXBT einen detaillierten Bericht, der der dezentralen Börsen- bzw. DEX-Aggregator-Plattform Tokenlon vorwirft, die Verlagerung illegaler Gelder zu ermöglichen, die mit der Lazarus Group verbunden seien, dem nordkoreanischen Hacker-Syndikat, das mit großen Krypto-Diebstählen in Verbindung gebracht wird. Laut dem Bericht von ZachXBT's
CryptoFrontier10Std her
