Эксплойт Scallop DeFi привел к потере 150 000 SUI из устаревшего контракта

Scallop, денежный рынок, работающий в сети Sui, пережил значительный эксплойт в выходные дни, в результате чего было потеряно около 150 000 SUI. Атака была нацелена на устаревший контракт вознаграждений, связанный с пулом sSUI протокола, который является механизмом стимулирования для вкладчиков SUI. Важно отметить, что основные пулы кредитования и заимствования, а также все депозиты пользователей остались нетронутыми и в безопасности.

Эксплойту способствовала уязвимость в пакете V2 spool, развернутом в ноябре 2023 года, более чем за 17 месяцев до атаки. В Sui развернутые пакеты кода неизменяемы, что означает, что старые версии могут оставаться вызываемыми, если они явно не ограничены по версии. Злоумышленник использовал неинициализированный счетчик last_index в этом старом пакете, фактически обманув систему, заставив ее поверить, что было накоплено большое количество вознаграждений, которые затем были погашены из пула вознаграждений.

Хотя Scallop обязался полностью возместить похищенные средства из своей казны и возобновил основные операции, этот инцидент служит суровым напоминанием для P2P-трейдеров. Подобные эксплойты, даже если они ограничены DeFi-протоколами, могут способствовать более широким изменениям рыночных настроений и потенциально влиять на воспринимаемую стабильность стейблкоинов и их базовых экосистем. Трейдеры, полагающиеся на спреды и объемы, могут столкнуться с колебаниями, если уверенность инвесторов в конкретных сетях или DeFi-приложениях ослабнет.

Этот эксплойт следует недавней тенденции подобных инцидентов в сети Sui, включая потери в Volo Protocol, и происходит вскоре после крупного эксплойта моста в Ethereum. Повторяющийся характер этих атак, особенно тех, которые нацелены на периферийный или устаревший код, подчеркивает постоянные проблемы в безопасности смарт-контрактов и важность тщательного управления кодом и аудита для всех участников криптопространства, включая тех, кто облегчает P2P-торговлю.