Атака швидкого спалаху Scallop висмоктала $142K з контракту нагород Sui

Scallop зазнав атаки з використанням миттєвого позики у неділю після того, як зловмисник зняв близько $142 000 з застарілого контракту винагород, пов’язаного з його пулом sSUI

ЗмістЗастарілий контракт відкриває приховані ризикиМаніпуляція оракулом підтримує стратегію миттєвого позикиScallop відновлює роботу після перевіркиІнцидент стосувався приблизно 150 000 SUI і, здавалося, базувався на маніпуляції оракулом та ініціалізованій змінній винагороди. Scallop заявив, що його основний протокол залишився безпечним, депозити користувачів — у безпеці, а збитки обмежилися ізольованим контрактом.

Застарілий контракт відкриває приховані ризики

Злом Scallop не націлювався на його основну систему кредитування або поточний код протоколу. Замість цього зловмисник взаємодіяв із старим контрактом V2 від листопада 2023 року, який залишався доступним у мережі, хоча й був застарілим. Іммутабельний дизайн пакету Sui дозволяє залишати доступними розгорнуті версії контрактів, що перетворює забутий код у потенційну точку атаки.

Аналітики з безпеки зазначили, що контракт містив тонкий, але серйозний недолік. Коли до пулу винагород додавали новий обліковий запис, змінна з назвою last_index не ініціалізувалася. Це дозволяло зловмиснику з’являтися як претендент на винагороду, накопичену з моменту початку роботи пулу.

Індекс винагороди зростав стрімко протягом приблизно 20 місяців. Після ставок у 136 000 sSUI зловмисник отримав кредит на 162 трильйони очок винагороди. Оскільки пул використовував обмінний курс 1:1, ці очки перетворилися приблизно у 162 000 SUI. У пулі було лише 150 000 SUI, тому зловмисник зняв доступний баланс.

Маніпуляція оракулом підтримує стратегію миттєвого позики

Аналітики також звернули увагу на маніпуляцію з користувацькими цінами оракула Scallop. Зловмисник, імовірно, знизив курси SUI та USDC, позичав активи за спотвореними цінами і повернув миттєву позику у межах однієї транзакції. Решту спреду він отримав як свою прибуток.

Транзакція слідувала відомому шаблону експлойту у DeFi, але її виконання здавалося дуже цілеспрямованим. Зловмисник уникав активних маршрутів і стандартних шляхів SDK, а потім використовував старий код, який все ще мав доступ у мережі. Пізніше дані у мережі показали, що вкрадені кошти рухалися через сервіс змішування на базі Sui, що може ускладнити процес відновлення.

🚨 Злом Scallop через миттєву позику у Sui, втрата $142 000 через маніпуляцію оракулом

ДЕТАЛІ 👇

ЩО ТРАПИЛОСЯ?

26 квітня 2026 року протокол кредитування Scallop зазнав атаки з використанням миттєвої позики, націленої на застарілий побічний контракт, пов’язаний із його пулом винагород sSUI

… pic.twitter.com/xoZbLzGCf0

— Софія Ходльберг (@sophiaHodlberg) 26 квітня 2026 року

Scallop відновлює роботу після перевірки

Scallop припинив діяльність після виявлення злома, а потім розблокував свої основні контракти. Команда заявила, що депозити та зняття коштів відновилися у звичайному режимі і підкреслила, що проблема не вплинула на кошти користувачів. Зловмисник, імовірно, зв’язався з Scallop і запропонував повернути 80 відсотків коштів у обмін на білого хата.

Цей випадок додає до складного квітня для безпеки DeFi. Кілька великих інцидентів цього місяця виникли через старі контракти, адаптери та інфраструктурні рівні, а не через основні системи протоколу. Збитки, повідомлені за квітень, перевищили $600 мільйонів доларів до середини місяця, причому найбільше пошкоджень завдали Kelp DAO і Drift Protocol. Випадок Scallop показує, як невикористаний код може все ще створювати реальний ризик. Також він підкреслює, чому командам потрібно відстежувати кожен розгорнутий пакет, а не лише останню перевірену версію.