Scallop Protocol kaotas flash laenuga ühendatud oracle’i manipuleerimisrünnakus 142 000 dollarit

Scallop Protocol sai põhjustatud kiirlaenuga seotud rünnaku ohvriks esmaspäeval. Ründaja väidetavalt kaevandatud umbes 142 000 dollarit (150 000 SUI) oli suunatud täpselt määratletud orakli manipuleerimisründana. See rünnak ei puutunud protokolli tuumakontaktidesse, kuid paljastas sügavama disainipuuduse.

Ründaja väidetavalt eksploiteeris Scallop’i sSUI preemiapooliga seotud kehtetu kõrvalkontakti. Nende meeskond rõhutab, et protokolli tuumaprotsessid jäävad puutumata ja kõik kasutajate sissemaksed on turvalised. Siiski on kaotus täielikult piiratud sellega eraldatud osaga.

Vanad koodid või orakli puudus?

Analüütikud viitavad sellele, et tuumaprobleemiks oli Scallop’i kohandatud orakli hindade andmete manipuleerimine. See võimaldas ründajal kunstlikult alahinnata SUI/USDC kurssi ja laenata varasid nendel moonutatud hindadel. Seejärel tagastati kiirlaen samas tehingus. Lõppkokkuvõttes läks kahtlustatav ära erinevusega.

See järgib tavalist DeFi-ründemustrit; siiski oli selle sündmuse elluviimine ebatavaliselt täpne. Ründaja ei sihitanud aktiivset koodi ega tavapäraseid SDK-teed. Ta interakteeris novembris 2023 välja antud vanema V2-kontaktiga. See versioon oli jäänud alles, kuid jäi ikka ahelas käivitatavaks. Sui säilitab kõik deployitud kontaktiversioonid muutumatuna ja ligipääsetavana. Seepärast muutus see ajastatud pakett peidetud ründepinnaks.

Sui hind ei langenud pärast rünnakut. Viimase 24 tunni jooksul on see tõusnud peaaegu 2%. Ajal, mil artikkel avaldati, kauplemishind oli 0,94 dollarit. Sui 24-tunnise kauplemismahuga oli umbes 187 miljonit dollarit.

Üks ekspert postituses märkis, et ise puudus oli küll peenike, kuid siiski tõsine. Kehtetu kontakts, kui uus konto loodi, ei initsialiseeritud oluline muutuja „last_index“. See võimaldas ründajal saada preemiaid nii, nagu oleks ta pankrotinud alates pooli algusest.

Kuna preemia indeks oli aeglaselt kasvanud, suutis ründaja ühes tehingus endale krediteerida terve preemiapooli. Ta mainis, et Spool indeks kasvas 20 kuu jooksul 1,19 miljardini. 

Ründaja pankrotis 136 000 sSUI ja talle krediteeriti 162 triljonit punkti. Kuid preemiapool kasutas 1:1 vahetuskurssi (nimetaja ja lugeja mõlemad = 1), mistõttu teisendati 162 T punkti otse 162 000 SUI väärtuses preemiaks. Poolis oli ainult 150 000 SUI ja kõik need said ära kaevandatud.

Ahelaandmed näitavad, et varastatud vahendid suunati kiiresti segamisteennustuse kaudu, mis on sarnane Tornado Cash’ile Sui-s. See teeb tagasitoomise veelgi raskemaks.

Scallop on pärast rünnakut jälle töös

Scallop’i meeskond reageeris ajutiselt tegevuste peatamisega. Seejärel teatasid nad, et tuumakontaktid on taas avatud ja kõik tegevused on taastatud. Ühes X-postituses rõhutati, et probleem ei olnud seotud tuumaprotokolliga ning oli piiratud kehtetu preemiakontaktiga. Lõppkokkuvõttes ei mõjutanud see kasutajate sissemakseid ja kõik vahendid jäävad turvalisteks. Tagasivõtmised ja sissemaksed toimuvad nüüd normaalselt.

Ründaja väidetavalt võttis meeskonnaga ühendust ja pakkus tagastada 80% varastatud vahenditest vastu valge-mütsi auhinda. Sündmust uuritakse praegu. Meeskond kontrollib, kuidas puudus läbis eelnevad auditid OtterSec’i ja MoveBit’i selliste firmade poolt.

Cryptopolitan teatas, et aprillis 2026 toimunud suurtest sündmustest paljud ei tulenud tuumaprotokolli loogikast. Need tulenesid vanadest kontaktidest, adapteritest või infrastruktuurakihtidest, mis jäävad ligipääsetavaks, kuid unustatakse. Kokku ületasid kaotused aprilli keskpaigaks 750 miljonit dollarit. Üksnes aprill 2026 on andnud 12 suure sündmuse raames kokku üle 600 miljoni dollarit varastatud vahendite.

Kelp DAO ja Drift Protocol moodustavad kokku umbes 95% aprillis tehtud kaotustest. Kelp’i rünnak põhjustas Aave’l 177 miljoni dollari väärtuses halba võlgu. Samas suutis Arbitrumi turvalisusnõukogu edukalt külmutada 30 766 ETH (umbes 71 miljonit dollarit) varastatud vahenditest.

Hyperliquid on endiselt suurim token DeFi-kategoorias. HYPE hind on viimase 30 päeva jooksul tõusnud 10%. Ajal, mil artikkel avaldati, kauplemishind oli 41,95 dollarit. Chainlink on teisel kohal. LINK kauplemishind oli umbes 9,4 dollarit.

Sinu pank kasutab sinu raha. Sa saad vaid jäägid. Vaata meie tasuta videot selle kohta, kuidas saada omaenda pangaks