Scallop, провідний грошовий ринок в екосистемі Sui, став жертвою цілеспрямованої атаки. Хоча масштаб збитку не є критичним для протоколу, цей випадок став тривожним сигналом для всієї мережі Sui, яка раніше вважалася однією з найбезпечніших завдяки мові програмування Move.
Подробиці
Атака була спрямована не на основне ядро кредитування, а на пул винагород sSUI. Хакер виявив вразливість у застарілому смарт-контракті (версія V2), який використовувався для розподілу стимулів ще з листопада 2023 року. Зловмисник зміг маніпулювати логікою нарахування винагород, що дозволило йому в межах однієї транзакції вивести всі накопичені в контракті токени SUI, призначені для користувачів.
Загальні збитки
Оцінюються в діапазоні від $450,000 до $525,000.
Реакція команди та ринку
Команда Scallop офіційно підтвердила, що основні активи у безпеці. Кредитори та позичальники не втратили свої кошти, оскільки хакер не мав доступу до основних пулів ліквідності. Токен SCA продемонстрував короткочасну волатильність, але стабілізувався після оперативної заяви команди. Залучено безпекових партнерів для перевірки всіх інших "архівних" контрактів, щоб виключити повторення сценарію.
Компенсація
Scallop відразу оголосили про повну компенсацію збитків. Кошти будуть виділені з казначейства проєкту, тому звичайні користувачі пулу sSUI не постраждають.
Підсумок
Четверте зафіксоване пограбування лише за останній тиждень остаточно підтверджує небезпечну тенденцію. Хоча масштаби останніх атак неспівмірні з катастрофічним ударом по Kelp DAO, сам факт їхньої частоти свідчить про системні прогалини в індустрії. Сьогодні світ фінансової безпеки перебуває у стані "ідеального шторму", де навіть перевірені протоколи стають вразливими перед новими методами експлуатації коду. Це чергове нагадування інвесторам: у сучасному DeFi безпека — це не стан, а безперервний процес.