Scallop потерял $142 000 из-за уязвимости старого контракта в сети Sui
Команда уже пообещала полностью компенсировать убытки пользователям.
27.04.2026 - 10:40
341
4 мин
0
Главное:
- Протокол Scallop потерял около $142 000 из-за уязвимости в старом контракте вознаграждений.
- Злоумышленник воспользовался ошибкой в расчёте бонусов и вывел весь пул одной транзакцией.
Протокол Scallop, работающий как денежный рынок в сети Sui, лишился около $142 000 в токенах SUI. Причиной стала уязвимость в устаревшем контракте вознаграждений.
Атака не затронула основной протокол. Злоумышленник использовал старый вспомогательный контракт, связанный с механизмом вознаграждений sSUI — системой начисления бонусов для держателей SUI.
Речь идет о версии spool V2, опубликованной еще в ноябре 2023 года — более чем за 17 месяцев до взлома. В сети Sui контракты после развертывания нельзя изменить. Если разработчики не ограничивают доступ к старым версиям, они остаются активными — именно это и стало слабым местом.
Взлом криптоплатформы Volo: что известно о хищении $3,5 млн
Команда заморозила часть средств и заявила о готовности покрыть убытки без участия пользователей.
Главная проблема заключалась в неинициализированной переменной last_index, которая отвечает за учет накопленных вознаграждений. При создании нового аккаунта она не задавалась, что позволило злоумышленнику получить выплаты так, будто он участвовал в стейкинге с самого начала.
Похищенные средства быстро провели через миксер в сети Sui, аналог Tornado Cash, что существенно усложнило их отслеживание.
Реакция Scallop и восстановление работы
Команда Scallop заморозила уязвимый контракт в течение нескольких минут. При этом основные функции протокола — кредитование и заимствование — продолжили работать. Средства пользователей на других рынках не пострадали.
Проект пообещал полностью покрыть убытки за счет собственного казначейства. Доходность пользователей снижаться не будет.
Основные контракты были разблокированы, а ввод и вывод средств вернулись в нормальный режим — менее чем через два часа после атаки.
Позже злоумышленник вышел на связь с командой и предложил вернуть 80% средств в обмен на вознаграждение за «белый взлом». Сейчас команда выясняет, почему уязвимость не выявили аудиторы OtterSec и MoveBit.
Полезный материал?
Происшествия
Разработчики предупредили о рисках для мостов и обратились к биржам за помощью.
22 июн. 2026 г.
Происшествия
Осужденный помогал переводить средства жертв инвестиционных афер и заработал на этом не менее $4 млн.
10 июн. 2026 г.
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.
