Scallop Exploit Αποστραγγίζει 150K SUI Μέσω Καταργημένου Συμβολαίου Καθώς Κρυφή Ευπάθεια Παραμένει για 17 Μήνες

Scallop Επιβεβαιώνει Στοχευμένη Επίθεση: 150.000 Tokens SUI Αντλήθηκαν από την Πισίνα Ανταμοιβών sSUI.

Το πρωτόκολλο DeFi Scallop, βασισμένο στο Sui, επιβεβαίωσε ότι έπεσε θύμα εκμετάλλευσης που αφαίρεσε περίπου 150.000 SUI από την πισίνα ανταμοιβών sSUI, αποκαλύπτοντας παράλληλα ένα σφάλμα δεκαετιών που κρυβόταν μέσα σε ένα καταργημένο έξυπνο συμβόλαιο.

Σύμφωνα με την επίσημη δήλωση του πρωτοκόλλου, παρατήρησαν ότι ο επιτιθέμενος παρέκαμψε εντελώς την ενεργή βάση κώδικα και τις τυπικές διεπαφές SDK. Αντ' αυτού, κάλεσε μια καταργημένη έκδοση πακέτου V2 που χρονολογείται από τον Νοέμβριο του 2023, η οποία ήταν ακόμη on-chain αλλά παρέμενε αχρησιμοποίητη για μήνες.

Αυτό το επίπεδο ακρίβειας έχει τραβήξει σημαντική προσοχή σε ολόκληρο το οικοσύστημα. Αυτή η εκμετάλλευση υπονοεί είτε βαθιά αντίστροφη μηχανική είτε κάποιον με μεγάλη εξοικείωση με την αρχιτεκτονική του συμβολαίου.

Το πιο αξιοσημείωτο είναι ότι η ευπάθεια παρέμεινε αδιάγνωστη για σχεδόν 17 μήνες επειδή το οικοσύστημα μετακινήθηκε σε νέες εκδόσεις συμβολαίων. Το Scallop στράφηκε στο Twitter για να επιβεβαιώσει το περιστατικό και δήλωσε ότι οι χρήστες είναι πλέον ασφαλείς καθώς εφαρμόστηκαν άμεσα μέτρα περιορισμού.

Εκμετάλλευση Ελαττωματικού Μηχανισμού Υπολογισμού Ανταμοιβών

Η εκμετάλλευση αποκαλύπτει ένα κρίσιμο ελάττωμα στη λογική υπολογισμού ανταμοιβών του καταργημένου συμβολαίου. Χρησιμοποιεί αυτό που ονομάζεται "spool index", μια διαρκώς αυξανόμενη τιμή που αντιπροσωπεύει τις συνολικές ανταμοιβές που έχουν συσσωρευτεί στην πισίνα με την πάροδο του χρόνου.

Κατά την κανονική λειτουργία, κάθε λογαριασμός χρήστη διατηρεί ένα last_index κατά τη στιγμή του staking. Οι ανταμοιβές υπολογίζονται βάσει της διαφοράς μεταξύ του τρέχοντος δείκτη και της αποθηκευμένης τιμής, έτσι ώστε κανένας χρήστης να μην μπορεί να κερδίσει ανταμοιβές πριν ξεκινήσει το staking.

Στο παλιό πακέτο V2 όμως, οι νεοδημιουργηθέντες λογαριασμοί spool δεν αρχικοποιούνταν ποτέ· το last_index ήταν πάντα μηδέν. Και αυτό το σφάλμα παρείχε ένα σημαντικό κενό.

Εκκένωση Πισίνας που Οδηγεί σε Τεράστια Διόγκωση Πόντων

Τα αποτελέσματα αυτού του σφάλματος ήταν άμεσα και καταστροφικά. Ο δείκτης spool είχε ανέλθει σε σχεδόν 1,19 δισεκατομμύρια σε περίπου 20 μήνες. Ο επιτιθέμενος έλαβε υπερβολικά 162 τρισεκατομμύρια πόντους ανταμοιβής, με 136.000 sSUI σε staking.

Επιδεινώνοντας την κατάσταση, η πισίνα ανταμοιβών είχε αναλογία μετατροπής 1:1, έτσι ώστε κάθε πόντος ανταμοιβής να μετατρέπεται απευθείας σε tokens SUI. Αυτό επέτρεψε στον επιτιθέμενο να ρευστοποιήσει αδιάλειπτα τους πόντους που αποκτήθηκαν μέσω τεχνητής διόγκωσης σε πραγματικά περιουσιακά στοιχεία.

Η εκμετάλλευση οδήγησε στην εκκένωση της πισίνας ανταμοιβών, η οποία περιείχε τότε περίπου 150.000 SUI. Παρόλο που οι υπολογισμένες ανταμοιβές του επιτιθέμενου ξεπερνούσαν κατά πολύ το υπόλοιπο της πισίνας, αντλήθηκε μόνο η διαθέσιμη ρευστότητα.

Τα Αμετάβλητα Συμβόλαια Δημιουργούν Μόνιμη Επιφάνεια Επίθεσης

Αυτό το περιστατικό απεικονίζει μία από τις συστημικές προκλήσεις που υπάρχουν με τα αναπτυγμένα πακέτα στο οικοσύστημα Sui: τα αναπτυγμένα πακέτα είναι αμετάβλητα. Και όταν ένα έξυπνο συμβόλαιο μπει on-chain, δεν μπορεί να διαγραφεί ή να τροποποιηθεί. Όλες οι εκδόσεις, παλιές και νέες, παραμένουν κλήσιμες για πάντα.

Ενώ το Scallop ανακατεύθυνε τους χρήστες σε ένα νέο, ασφαλέστερο πακέτο μέσω του SDK του, το παλιό συμβόλαιο V2 ήταν ακόμα προσβάσιμο. Τα αντικείμενα Spooled και RewardsPool είναι κοινόχρηστα, οπότε ο επιτιθέμενος μπόρεσε να παρακάμψει πλήρως την ενημερωμένη λογική επειδή δεν υπάρχουν περιορισμοί έκδοσης σε αυτά.

Αυτός ο τύπος ευπάθειας, που έχει επαναταξινομηθεί ως κίνδυνος "παρωχημένου πακέτου", φέρνει στο φως ένα σημαντικό τυφλό σημείο για πολλά συστήματα DeFi. Τα παλαιά συμβόλαια μπορούν να αποτελούν μόνιμα φορείς επίθεσης επειδή δεν υπάρχουν ρητοί έλεγχοι έκδοσης ενσωματωμένοι στα κοινόχρηστα αντικείμενα.

Ευρύτερα Μοτίβα Ευπαθειών Εκτός Πυρήνα σε Εξέλιξη

Η εκμετάλλευση του Scallop είναι ένα γεγονός, όχι αποτέλεσμα μιας μεμονωμένης τάσης, αλλά μέρος μιας μεγαλύτερης τάσης που συνεχίζεται καθ' όλη τη διάρκεια του Απριλίου. Πολλαπλές πρόσφατες επιθέσεις δεν πήγαζαν από τη βασική λογική πρωτοκόλλου αλλά από περιφερειακές ή παραμελημένες πτυχές. Ευπάθειες στην υποδομή RPC του KelpDAO, στο επίπεδο απορρήτου (MWEB) για το Litecoin και σφάλματα ελέγχου πρόσβασης σε συστήματα προσαρμογέα του Aethir είναι μερικά μόνο παραδείγματα.

Σε όλες τις περιπτώσεις, η πηγή ήταν εξωτερική του κύριου συμβολαίου και βρισκόταν σε άλλες δευτερεύουσες ή παλαιές ενότητες. Η χρήση αυτού του μοτίβου υποδηλώνει ότι οι αντίπαλοι έχουν αλλάξει τακτικές. Οι χάκερ αφιερώνουν λιγότερο χρόνο στα βασικά συμβόλαια που ελέγχονται εκτενώς, και πολύ περισσότερο χρόνο επιτιθέμενοι στα άκρα του οικοσυστήματος που έχουν πολύ αδύναμη παρακολούθηση της περιμέτρου τους. Αυτό απαιτεί μια αλλαγή παραδείγματος για προγραμματιστές και ελεγκτές. Η ασφάλιση μόνο νέων αναπτύξεων δεν αρκεί· όλα τα ιστορικά συμβόλαια, τα σημεία ενοποίησης και τα στοιχεία υποδομής πρέπει να αντιμετωπίζονται ως ενεργή επιφάνεια απειλής.

Πλήρης Αποζημίωση και Αποκατάσταση του Συστήματος από το Scallop

Το Scallop υιοθέτησε μια γρήγορη και αποφασιστική προσέγγιση στην αντιμετώπιση της εκμετάλλευσης. Το επιτεθειμένο συμβόλαιο παγώθηκε αμέσως μετά το συμβάν, που σημαίνει ότι μόνο μία πισίνα ανταμοιβών είχε παραβιαστεί από αυτή την επίθεση.

Ο Όμιλος επιβεβαίωσε ότι τα βασικά συμβόλαια παραμένουν ασφαλή και καμία κατάθεση χρήστη δεν έχει παραβιαστεί. Άλλες πισίνες παραμένουν ανέπαφες και οι κύριες λειτουργίες του πρωτοκόλλου ενεργοποιήθηκαν μόλις ξεπαγώσουν τα ανεπηρέαστα τμήματα.

Αξιοσημείωτα, το Scallop έχει δεσμευτεί να αποζημιώσει το 100% των ζημιών που προέκυψαν από την εκμετάλλευση. Αυτή η δέσμευση δείχνει υπευθυνότητα στην αντιμετώπιση απρόβλεπτων κενών ασφαλείας και στοχεύει στην ανάκτηση της εμπιστοσύνης των χρηστών.

Οι καταθέσεις και οι αναλήψεις έχουν επαναληφθεί, υποδηλώνοντας ότι η σταθερότητα του συστήματος έχει αποκατασταθεί.

Διδάγματα από τον Κόσμο της Ασφάλειας DeFi

Το περιστατικό Scallop ενσωματώνει ένα βασικό δίδαγμα για το οικοσύστημα DeFi στο σύνολό του. Εάν εκτελείτε σε περιβάλλον αμετάβλητων έξυπνων συμβολαίων, η ασφάλεια δεν είναι ποτέ μια εφάπαξ υπόθεση.

Κάθε έκδοση του αναπτυγμένου συμβολαίου σας αποτελεί μέρος του ζωντανού συστήματος. Ακόμα και ανενεργός κώδικας μπορεί να αποτελέσει μοναδικό σημείο αποτυχίας μήνες ή χρόνια αργότερα, εάν οι κατάλληλες προστατευτικές δικλείδες μπορούν εύκολα να παρακαμφθούν.

Στο μέλλον, το οικοσύστημα πρέπει να υιοθετήσει αυστηρότερες πρακτικές ελέγχου έκδοσης, συνεχή παρακολούθηση παλαιών συμβολαίων και διεύρυνση του εύρους ελέγχου ώστε να καλύπτει όλες τις προηγούμενες αναπτύξεις. Όπως δείχνει η εκμετάλλευση, οι επιτιθέμενοι είναι έτοιμοι να εμβαθύνουν στο ιστορικό ενός πρωτοκόλλου για να βρουν αδυναμίες που μπορούν να εκμεταλλευτούν.

Εν τέλει, η αποκεντρωμένη χρηματοδότηση θα αποδειχθεί τόσο ανθεκτική όσο τα πρωτόκολλα που μπορούν να προσαρμοστούν σε αυτό το μεταβαλλόμενο τοπίο απειλών.

Αποκάλυψη: Αυτό δεν είναι συμβουλή συναλλαγών ή επενδύσεων. Κάντε πάντα τη δική σας έρευνα πριν αγοράσετε οποιοδήποτε κρυπτονόμισμα ή επενδύσετε σε οποιεσδήποτε υπηρεσίες.

Ακολουθήστε μας στο Twitter @themerklehash για να ενημερώνεστε με τα τελευταία νέα για Crypto, NFT, AI, Κυβερνοασφάλεια και Metaverse!

The post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months appeared first on The Merkle News.