Сообщение Gate News, 26 апреля — Scallop Protocol, платформа кредитования в блокчейне Sui, пострадала от эксплойта с флэш-кредитом, нацеленного на устаревший вспомогательный контракт, связанный с ее пулом вознаграждений sSUI, что привело к потере приблизительно $142,000 (150,000 SUI). Атака использовала манипуляции данными оракула по ценам, чтобы искусственно снизить котировки обмена SUI/USDC и заимствовать активы по искаженным ценам; при этом злоумышленник погасил флэш-кредит в рамках той же транзакции и присвоил разницу.
Ключевая проблема возникла из-за устаревшего контракта V2, развернутого в ноябре 2023 года и оставшегося вызываемым в сети. В этом устаревшем контракте критическая переменная под названием “last_index” никогда не инициализировалась при создании новых аккаунтов. Эта уязвимость позволила злоумышленнику заявлять о получении вознаграждений так, будто он стейкал с момента запуска пула. Поскольку индекс вознаграждений вырос до 1,19 млрд за 20 месяцев, злоумышленник застейкал 136 000 sSUI, но получил зачисление 162 трлн очков. Поскольку пул вознаграждений работал по курсу 1:1, эти очки напрямую конвертировались в 162 000 SUI стоимостью вознаграждений. В пуле было только 150 000 SUI, и все средства были выведены. Данные on-chain показывают, что похищенные средства были быстро перенаправлены через сервис миксинга, что усложнило попытки восстановления.
Команда Scallop отреагировала тем, что временно приостановила операции, прежде чем разморозить ключевые контракты и возобновить все процессы. Протокол подтвердил, что эксплойт был изолирован только в устаревшем контракте с вознаграждениями и не повлиял на основной протокол или пользовательские депозиты: все средства остались в безопасности. Затем злоумышленник связался с командой, предложив вернуть 80% похищенных средств в обмен на награду за обнаружение уязвимости в рамках white-hat, и инцидент теперь находится в расследовании. Команда рассмотрит, как эта уязвимость ускользнула от обнаружения во время предыдущих аудитов у компаний, включая OtherSec и MoveBit.
После эксплойта цена SUI сохраняла устойчивость: она выросла примерно на 2% в течение 24 часов после атаки и торговалась на уровне $0.94 при дневном объеме торгов около $187 million. Инцидент отражает более широкий тренд в апреле 2026 года, когда крупные эксплойты в DeFi нацеливались на устаревшие контракты и уровни инфраструктуры, а не на логику основного протокола: совокупные потери превысили $600 million в 12 крупных инцидентах в течение месяца.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Aave подала юридическую петицию, чтобы заблокировать конфискацию $71M ETH на Arbitrum
Aave подала юридическое ходатайство 5 мая, чтобы заблокировать конфискацию ETH на сумму 71 миллион на Arbitrum после эксплойта rsETH. Протокол децентрализованного кредитования DeFi оспаривает обеспечительный судебный приказ из Нью-Йорка, который заморозил средства, утверждая, что активы принадлежат пользователям, а не кредиторам по судебному решению, которые заявляют о связях с North
GateNews6м назад
Aftermath Finance открыла страницу подачи заявок для пострадавших пользователей после инцидента на прошлой неделе
Согласно официальному заявлению Sui в X, Aftermath Finance открыла страницу для подачи претензий пользователей, пострадавших от атаки на прошлой неделе, и все возмещения уже обработаны. Когда пользователи повторно подключаются к aftermath.finance, система предложит им вывести средства со счетов Aftermath Perps. Пострадавшие пользователи могут обратиться по контактам th
GateNews2ч назад
Ripple делится с индустрией криптовалют разведданными о северокорейских хакерах, поскольку методы атак смещаются в сторону социальной инженерии
Согласно BlockBeats, 5 мая Ripple объявила, что передаёт отрасли криптовалют внутреннюю информацию об угрозах, связанных с северокорейскими хакерами, через Crypto ISAC. Этот шаг направлен на решение фундаментального сдвига в методологии атак: вместо использования уязвимостей в коде смарт-контрактов, злоумышленники действуют
GateNews2ч назад
Tydro приостанавливает работу всех рынков 5 мая из-за проблемы с оракулом; средства пользователей в безопасности
По данным BlockBeats, Tydro — кредитный протокол в экосистеме Ink — приостановил все рынки 5 мая после сообщения об инциденте с оракулом третьей стороны. Команда подтвердила, что средства пользователей остаются в безопасности, и активно расследует
GateNews2ч назад
Мошенничество с использованием азбуки Морзе обмануло AI-агентов! Хакер выманил переводы у Grok и BankrBot, получив криптовалюту на сумму 170 тыс. долларов
На платформе X обнаружилась уязвимость в AI-агентах: злоумышленники с помощью NFT Bankr Club получают права на переводы средств из кошелька Grok, а затем с помощью команд в стиле азбуки Морзе заставляют BankrBot вывести около 300 млн DRB без проверки человеком. Рыночная стоимость — около 17,5 тыс. долларов. Проблема в том, что в архитектуре BankrBot AI-вывод не рассматривается как разрешение: средства уже возвращены, и будет усилена защита, включая более строгие настройки API-ключей и белые списки IP.
ChainNewsAbmedia3ч назад
