Протокол DeFi-кредитования Sui 受 взлому: Scallop, уязвимость в старом контракте привела к краже 150 000 SUI

Sui 鏈上 DeFi 借貸協議 Scallop опубликовал уведомление о безопасности через официальный аккаунт в X ( @Scallop_io ), подтвердив, что платформа была атакована. Scallop заявил, что команда обнаружила, что эксплуатируется боковой контракт (side contract), связанный с пулом наград sSUI spool, что привело к потере примерно 150 000 SUI. Scallop подчеркнул, что затронутый контракт был заморожен, основной контракт по-прежнему безопасен, а пострадал только пул наград sSUI.

В последующих обновлениях Scallop далее пояснил: «Основной контракт разморожен, все операции восстановлены. Эта проблема не связана с основным протоколом, она затрагивает только один списанный контракт наград. Депозиты пользователей не пострадали, все средства в безопасности, функции ввода и вывода восстановлены в штатном режиме». Команда обязалась поделиться дополнительными деталями и продолжать мониторинг и усиление безопасности протокола.

Бывший участник NEAR core Vadim: проблема в старом пакете, выпущенном 17 месяцев назад

По поводу этого инцидента бывший NEAR core-разработчик Vadim ( @zacodil ) опубликовал в X подробный технический разбор, раскрыв детали уязвимости. Vadim указал, что атакующие отлично знали, какой именно из списанных пакетов нужно вызывать. «Это не код, который сейчас выполняется, и не путь SDK, а устаревшая версия V2 из ноября 2023 года, которой несколько месяцев никто не пользовался. Это либо результат глубокой обратной инженерии, либо кто-то заранее знал, где искать. Эта уязвимость пролежала 17 месяцев.

Vadim объяснил, что spool отслеживает index, который растет по мере распределения наград. Когда каждый пользовательский аккаунт делает стейкинг, изначально должен записываться last_index того момента, чтобы формула начисленных баллов выглядела так: количество стейка × (current_index − last_index) , при этом пользователь может зарабатывать награды только с момента присоединения.

Но в списанном V2-пакете при создании нового spool_account last_index не инициализируется и остается равным 0. Поэтому при выполнении update_points результат расчета становится таким: баллы = количество стейка × (current_index − 0) = количество стейка × полный исторический index. Пользователя записывают во все накопленные награды, начиная с момента создания spool с августа 2023 года.

Vadim привел конкретные данные: spool index за 20 месяцев вырос до 1,19 млрд. Атакующий застейкал 136 000 sSUI и мгновенно получил начисление в 162 трлн очков. Поскольку пул наград использует коэффициент 1:1 (и числитель, и знаменатель равны 1), 162 трлн очков напрямую конвертируются в награду стоимостью 16,2万枚 SUI. Но в пуле наград было лишь 150 000 SUI, поэтому он был полностью выкачан.

Все апрельские ончейн-инциденты произошли в периферийных системах

Vadim пояснил, что обычные пользователи используют новый пакет через SDK, и в новом пакете исправлена проблема синхронизации last_index. Старый пакет V2 все еще остается в сети, потому что пакеты Sui обладают неизменяемостью. — После публикации каждый старый вариант навсегда остается доступным для вызова. Общие объекты Spool и RewardsPool принимают вызовы из любых версий, и атакующий, обходя SDK, напрямую попадает по пути кода старой версии.

Vadim отнес это к «уязвимости класса устаревших пакетов Sui». Он отметил, что корректное исправление должно включать добавление поля версии в общий объект и добавление проверки assert!(version == CURRENT_VERSION) в каждой функции. Без этого механизма каждая ранее опубликованная версия пакета навсегда остается живой поверхностью атаки.

Vadim также отметил, что большинство атак в этом месяце были связаны не с кодом основного протокола, а с периферийными системами:

KelpDAO：RPC инфраструктура

Litecoin：MWEB слой конфиденциальности

Aethir：контроль доступа к периферийному коннектору

Scallop：забытый устаревший пакет

Эта статья о том, что взломан Sui- DeFi протокол заимствований Scallop, а уязвимость в старом контракте привела к краже 150 000 SUI, впервые появилась на 鏈新聞 ABMedia.