В воскресенье протокол Scallop подвергся атаке с использованием уязвимости мгновенного кредитования. По сообщениям, злоумышленник похитил около 142 000 долларов (150 000 SUI) в результате, по всей видимости, целенаправленной атаки с манипуляцией оракулами. Эта атака не затронула основныеtracпротокола, но выявила более глубокую уязвимость в его архитектуре.
По сообщениям, злоумышленник использовал устаревший побочныйtrac, связанный с пулом вознаграждений sSUI компании Scallop. Команда разработчиков настаивает на том, что основной протокол остается нетронутым и все депозиты пользователей находятся в безопасности. Однако потери полностью ограничены этой изолированной частью.
Устаревший код или ошибка Oracle?
Аналитики предполагают, что основная проблема заключалась в манипулировании ценовыми потоками, созданными Scallop на основе собственных данных оракула. Это позволило злоумышленнику искусственно занижать курсы SUI/USDC и заимствовать активы по этим искаженным ценам. Затем он погашал мгновенный кредит в рамках той же транзакции. В итоге подозреваемый скрылся с разницей.
Это соответствует знакомой схеме атак DeFi ; однако в данном случае исполнение было необычайно точным. Злоумышленник не атаковал активный код или стандартные маршруты SDK. Он взаимодействовал со старойtracконтракта V2 от ноября 2023 года. Это была версия, которая осталась нетронутой, но по-прежнему доступной в блокчейне. Sui обеспечивает неизменяемость и доступность всех развернутых версийtrac. Именно поэтому этот устаревший пакет стал скрытой поверхностью для атаки.
Цена акций Sui не пострадала после взлома. За последние 24 часа она выросла почти на 2%. На момент публикации Sui торгуется по цене 0,94 доллара. Объем торгов за 24 часа составляет около 187 миллионов долларов.
постов эксперт упомянул, что сама уязвимость была незаметной, но серьезной. В устаревшем контракте trac переменная «last_index» никогда не инициализировалась при создании новой учетной записи. Это позволяло злоумышленнику получать вознаграждения так, как если бы он участвовал в стейкинге с самого начала работы пула.
Поскольку индекс вознаграждений со временем вырос, злоумышленник за одну транзакцию зачислил на свой счет весь пул вознаграждений. Он упомянул, что индекс пула вырос до 1,19 млрд за 20 месяцев.
Злоумышленник внес в стейкинг 136 000 sSUI и получил 162 триллиона баллов. Однако в пуле вознаграждений действовал обменный курс 1:1 (числитель и знаменатель равны 1), поэтому 162 триллиона баллов были напрямую конвертированы в вознаграждение на сумму 162 000 SUI. В пуле оставалось всего 150 000 SUI, и все они были израсходованы.
Данные блокчейна показывают, что украденные средства были быстро переведены через сервис смешивания транзакций, аналогичный Tornado Cash на платформе Sui. Это еще больше затрудняет их возврат.
Scallop снова в сети после взлома
Команда Scallop отреагировала временной приостановкой операций. Затем она сообщила, что разморозила основныеtrac, и все операции возобновились. В сообщении на X было отмечено, что проблема не связана с основным протоколом и касается только устаревшегоtracна вознаграждения. В итоге, депозиты tser не пострадали, и все средства остаются в безопасности. Вывод и ввод средств теперь работают в обычном режиме.
🚨 Компания Scallop пострадала от атаки с использованием краткосрочного займа, предоставленного Суи, и потеряла 142 000 долларов в результате манипуляций с оракулами
ПОДРОБНОСТИ 👇
ЧТО СЛУЧИЛОСЬ?
26 апреля 2026 года протокол кредитования Scallop столкнулся с уязвимостью, связанной с мгновенным кредитованием, которая была нацелена на устаревший побочныйtrac, связанный с пулом вознаграждений sSUI
— София Ходлберг (@sophiaHodlberg) 26 апреля 2026 г.
По имеющимся данным, злоумышленник связался с командой и предложил вернуть 80% средств в обмен на вознаграждение за «белую» атаку. В настоящее время проводится расследованиеdent . Команда проверит, насколько уязвимость прошла предыдущие проверки такими компаниями, как OtterSec и MoveBit.
Cryptopolitan Сообщается dent апреля 2026 года не были связаны с основной логикой протокола. Они возникли из-за старых контрактов trac dent было украдено более 600 миллионов долларов .
На долю Kelp DAO и Drift Protocol в совокупности приходится примерно 95% апрельских потерь. Атака на Kelp привела к образованию безнадежной задолженности в размере 177 миллионов долларов на Aave. Тем временем Совет безопасности Arbitrum успешно заморозил 30 766 ETH (примерно на 71 миллион долларов) украденных средств.
Hyperliquid по-прежнему является крупнейшим токеном в категории DeFi . Цена HYPE выросла на 10% за последние 30 дней. На момент публикации она торгуется на уровне $41,95. Chainlink находится на втором месте. LINK торговался около $9,4.
