Повідомлення Gate News, 26 квітня — Scallop Protocol, платформа для кредитування в блокчейні Sui, зазнала експлойту з використанням флеш-кредиту, націленого на застарілий сторонній контракт, пов’язаний із її пулом винагород sSUI. Це призвело до втрати приблизно $142,000 (150,000 SUI). Атака використала маніпуляцію подачею цін оркулів (oracle) для штучного зниження котирувань обміну SUI/USDC і позичання активів за спотвореними цінами, при цьому зловмисник погасив флеш-кредит у межах того самого транзакційного циклу та привласнив різницю.
Проблема мала джерело в застарілому контракті V2, розгорнутому в листопаді 2023 року, який залишався доступним для виклику в мережі. У цьому застарілому контракті критична змінна, що називається “last_index”, ніколи не ініціалізувалася під час створення нових облікових записів. Цей недолік дозволив атакувальнику вимагати винагороди так, ніби він здійснював стейкінг від початку роботи пулу. Оскільки індекс винагород виріс до 1,19 мільярда за 20 місяців, атакувальник зробив стейкінг на 136 000 sSUI, але отримав кредит за 162 трильйони очок. Оскільки пул винагород працював за курсом 1:1, ці очки напряму конвертувалися в 162 000 SUI вартості винагород. У пулі було лише 150 000 SUI, і всі кошти були виведені. Дані on-chain показують, що викрадені кошти швидко були переказані через сервіс змішування, що ускладнює процес відновлення.
Команда Scallop відреагувала, тимчасово призупинивши роботу, перш ніж розморозити ключові контракти та відновити всі операції. Протокол підтвердив, що експлойт був ізольований лише в застарілому контракті винагород і не вплинув на основний протокол або депозити користувачів, при цьому всі кошти залишилися в безпеці. Згодом атакувальник звернувся до команди, запропонувавши повернути 80% викрадених коштів в обмін на винагороду у форматі white-hat, і наразі інцидент розслідується. Команда перевірить, як цей недолік не вдалося виявити під час попередніх аудитів компаніями, серед яких OtherSec та MoveBit.
Ціна SUI залишалася стійкою після експлойту: вона зросла приблизно на 2% протягом 24 годин після атаки та торгувалася на рівні $0,94 із щоденним обсягом торгів близько $187 мільйон. Інцидент відображає ширшу тенденцію в квітні 2026 року, коли великі експлойти DeFi націлювалися на застарілі контракти та інфраструктурні рівні, а не на логіку основного протоколу, причому сукупні збитки перевищили $600 мільйон у 12 ключових інцидентах протягом місяця.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Вразливість у коді для віддаленого виконання Bitcoin Core для майнерів, 43% вузлів не оновлено
За повідомленням Protos від 5 травня розробники Bitcoin Core на офіційному сайті оприлюднили критично небезпечну вразливість CVE-2024-52911. Ця вразливість дозволяє майнерам шляхом майнінгу спеціально створених блоків віддалено спричиняти аварійне завершення роботи вузлів інших користувачів і за певних умов виконувати код. Оскільки повне оновлення біткоїн-вузлів наразі є добровільною дією, за оцінками, досі близько 43% вузлів працюють на застарілому програмному забезпеченні, яке містить вразливість.
MarketWhisper1год тому
Вразливість у Bitcoin Core під CVE-2024-52911 дозволяє віддалене виконання коду; 43% вузлів досі не виправлено
За даними Protos, розробники Bitcoin Core нещодавно розкрили критичну вразливість (CVE-2024-52911), яка зачіпає версії 0.14.1 і 28.4, дозволяючи майнерам віддалено спричиняти збої в вузлах і виконувати довільний код шляхом майнінгу спеціально створених блоків. Її виявив у листопаді 2024 року розробник Cory
GateNews2год тому
Ekubo: EVM Swap роутерний контракт зазнав інциденту безпеки, Starknet не постраждав
Згідно з офіційним оголошенням AMM-інфраструктури Ekubo, опублікованим 6 травня на X, сталася безпекова подія в контракті маршрутизації Swap у мережі EVM. Ekubo підтвердив, що постачальники ліквідності (LP) та Starknet не постраждали від цієї події; команда проводить розслідування щодо масштабу інциденту та готує звіт за його підсумками.
MarketWhisper2год тому
Kelp DAO став першим проєктом, який відмовився від основного протоколу LayerZero та перейшов на Chainlink CCIP
За повідомленням The Block від 5 травня, децентралізована платформа для кредитування в DeFi Kelp DAO оголосила про відмову від LayerZero як постачальника кросчейн-інфраструктури та перехід на кросчейн-інтероперабельність Chainlink — CCIP; Kelp DAO є «першим серед ключових протоколів, який відмовився від LayerZero з моменту, коли стався інцидент із вразливістю LayerZero».
MarketWhisper2год тому
Drift оголосив план відновлення після хакерської атаки на суму 295 мільйонів, постраждалі гаманці будуть компенсовані відповідно до збитків
Згідно з офіційним повідомленням Drift Protocol у X від 6 травня, Drift Protocol офіційно запустив програму відновлення для користувачів після хакерського інциденту 1 квітня: кожен постраждалий гаманець отримає «відновлювальний токен» (Recovery Token), кожен токен відповідатиме 1 долару за підтверджені збитки як доказ для пропорційного відшкодування з відновлювального пулу.
MarketWhisper3год тому
