O protocolo de empréstimos DeFi Scallop na rede Sui publicou, na conta oficial de X (@Scallop_io), um aviso de incidente de segurança, confirmando que a plataforma foi atacada. A Scallop afirma que a equipa descobriu um contrato paralelo (side contract) associado ao pool de recompensas de sSUI que foi explorado, causando uma perda de cerca de 150.000 SUI. A Scallop sublinha que o contrato afetado foi congelado, que o contrato central continua seguro e que apenas o pool de recompensas de sSUI foi atingido.
Nas atualizações subsequentes, a Scallop explicou ainda: «O contrato central foi descongelado e todas as operações foram restabelecidas. Este problema não tem relação com o protocolo central, sendo limitado a um contrato de recompensas desativado. Os depósitos dos utilizadores não foram afetados; não há qualquer risco para os fundos, e a funcionalidade de depósitos e levantamentos foi restabelecida.» A equipa compromete-se a partilhar mais detalhes e a continuar a monitorizar e a reforçar a segurança do protocolo.
Antigo membro do NEAR core Vadim: o problema está num kit de versão antiga de há 17 meses
Em resposta a este incidente, o antigo programador principal do NEAR, Vadim (@zacodil), publicou uma análise técnica aprofundada no X, revelando detalhes da vulnerabilidade. Vadim indicou que os atacantes sabiam exatamente qual era o kit desativado que deviam chamar. «Não era código atualmente em execução, nem um caminho de SDK, mas sim uma versão antiga V2 de Novembro de 2023, sem utilização há meses. Isto ou implica engenharia retrospetiva profunda, ou alguém já sabia exatamente onde procurar. Esta vulnerabilidade esteve latente durante 17 meses.
Vadim explicou que o spool acompanha um índice que cresce à medida que as recompensas são atribuídas. Quando cada conta de utilizador faz staking, deveria registar o last_index nesse momento; assim, a fórmula do cálculo dos pontos ganhos é: quantidade em staking × (current_index − last_index), e os utilizadores só conseguem ganhar recompensas a partir do momento em que entram.
Mas no kit V2 desativado, quando se cria um spool_account totalmente novo, o last_index não é inicializado e permanece em 0. Por isso, quando o update_points é executado, o resultado do cálculo torna-se: pontos = quantidade em staking × (current_index − 0) = quantidade em staking × índice histórico completo. Os utilizadores são creditados com todas as recompensas acumuladas desde a criação do spool em Agosto de 2023.
Vadim forneceu dados concretos: o índice do spool cresceu até 1,19 mil milhões ao longo de 20 meses. O atacante fez staking de 136.000 sSUI e obteve instantaneamente o crédito de 162 biliões de pontos. Como o pool de recompensas utiliza uma taxa de conversão 1:1 (numerador e denominador ambos 1), os 162 biliões de pontos são convertidos diretamente em recompensas no valor de 16,2 mil SUI. Contudo, o pool de recompensas só tinha 150.000 SUI, pelo que foi esgotado na totalidade.
Todos os incidentes de segurança na rede de abril ocorreram em sistemas periféricos
Vadim explicou que utilizadores normais utilizam o novo kit através do SDK; o novo kit já corrigiu o problema de sincronização do last_index. A razão pela qual a versão antiga V2 ainda permanece na cadeia é porque os kits Sui têm imutabilidade. — Uma vez publicados, cada versão antiga pode ser chamada para sempre. Os objetos partilhados Spool e RewardsPool aceitam chamadas de qualquer versão; o atacante contornou o SDK e atingiu diretamente o caminho de código da versão antiga.
Vadim classificou isto como uma «vulnerabilidade em kits desatualizados do Sui». Ele apontou que a forma correta de corrigir exige adicionar um campo de versão nos objetos partilhados e inserir, em cada função, uma verificação assert!(version == CURRENT_VERSION). Sem este mecanismo, cada versão do kit publicada no passado será para sempre uma área de ataque ativa.
Vadim salientou ainda que a maioria dos incidentes de ataque deste mês não ocorreu no código do protocolo central, mas sim em sistemas periféricos:
KelpDAO: infraestrutura de RPC
Litecoin: camada de privacidade MWEB
Aethir: controlo de acesso do recetor periférico
Scallop: kit antigo esquecido
O artigo sobre o ataque ao protocolo de empréstimos DeFi Scallop na rede Sui, que levou ao roubo de 150.000 SUI devido a uma vulnerabilidade em contratos antigos, foi publicado pela primeira vez em Cadeia de Notícias ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
