Мережа Sui нещодавно стала майданчиком для майстерної атаки на протокол Scallop. Попри те, що сума в $142 000 (у токенах SUI) може здатися невеликою у масштабах DeFi, сама природа вразливості — це важливий урок для всіх розробників та інвесторів.
🔍 Що сталося?
Атака була спрямована не на основне ядро протоколу, а на застарілий допоміжний контракт системи винагород (spool V2), розгорнутий ще у листопаді 2023 року.
Технічна сторона:
Головною проблемою стала помилка в коді — неініціалізована змінна last_index.
Ця змінна відповідає за облік накопичених бонусів.
Через те, що вона не задавалася при створенні нового акаунта, зловмисник зміг обманути систему.
Протокол «повірив», що новий користувач брав участь у стейкінгу з самого початку, і дозволив вивести весь пул винагород однією транзакцією.
Важливий нюанс: У мережі Sui смарт-контракти після розгортання неможливо змінити. Якщо розробники не обмежують доступ до старих версій вручну, вони залишаються активними — саме ця «забута» версія і стала мішенню.
⚡️ Реакція команди
Scallop спрацювали блискавично:
Заморозка: Вразливий контракт зупинили за лічені хвилини.
Безпека коштів: Основні ринки кредитування та запозичень не постраждали. Кошти користувачів у безпеці.
Компенсація: Команда пообіцяла покрити всі збитки з власного казначейства. Дохідність користувачів не зміниться.
🔄 Що далі?
Наразі тривають переговори. Зловмисник вийшов на зв'язок і запропонував повернути 80% коштів в обмін на статус «білого хакера» та винагороду.
Також залишається відкритим питання до аудиторів (OtterSec та MoveBit): як таку фундаментальну помилку з неініціалізованою змінною не помітили під час перевірок?
Висновок для нас: Навіть якщо основний протокол надійний, застарілі «хвости» в DeFi можуть нести ризики. Scallop витримали удар гідно, показавши високу швидкість реакції.