Sui Network децентрализованный кредитный протокол Scallop 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что подвергся атаке через уязвимость: злоумышленник извлёк около 150,000 SUI из заброшенного контрактa вознаграждений, связанного с sSUI spool. Согласно официальному заявлению, основной пул капитала и пользовательские депозиты не пострадали; протокол восстановил снятие и пополнение, и подтверждено, что все потери будут компенсированы в полном объёме за счёт средств компании.
Хронология события и официальная реакция Scallop
Согласно сообщению Scallop на официальной X-платформе (26 апреля 12:50 UTC), целью атаки стал вспомогательный контракт вознаграждений sSUI spool — это стимулирующий слой протокола для участников, вносящих депозиты в SUI, а не логика основного кредитования. Команда Scallop заморозила затронутые контракты в течение нескольких минут после инцидента; основной контракт был заморожен до разблокировки в течение двух часов, а снятие и пополнение возобновились в 14:42 UTC.
В официальном заявлении Scallop говорится: «Scallop полностью компенсирует 100% потерь».
Технический анализ уязвимости: неинициализированный счётчик из заброшенного пакета за 2023 год
(Источник:Vadim)
Согласно независимому on-chain анализу, точкой входа для атаки стал заброшенный V2 spool-пакет, развернутый Scallop в ноябре 2023 года; с момента возникновения этой атаки прошло более 17 месяцев. В технической архитектуре Sui Network развернутые пакеты изменить нельзя; если явно не настроен контроль версий, старые версии всё ещё могут вызываться.
Злоумышленник обнаружил в пакете неинициализированный счётчик last_index. Этот счётчик используется для отслеживания накопленных наград стейкеров. Злоумышленник поставил около 136,000 sSUI, а система расценила эту позицию как существующую с тех пор, как spool был запущен в августе 2023 года. После примерно 20 месяцев экспоненциального накопления индекс spool вырос до примерно 1.19 миллиарда, в результате злоумышленник получил около 162 трлн наградных баллов и обменял их в соотношении 1:1 на 150,000 SUI.
On-chain записи транзакций можно запросить по хэшу: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Недавние инциденты с уязвимостями в Sui DeFi
Согласно публичным сообщениям, в начале апреля 2026 года на Sui Network произошла схожая атака на протокол Volo: целью также стали вспомогательные контракты, а не логика основной части протокола, потери составили около 3.5 млн долларов. Кроме того, за неделю до инцидента в сети Ethereum произошло событие, связанное с мостовой атакой: было украдено около 2.92 млрд долларов безобеспеченной токенизированной повторной закладки ликвидности.
По состоянию на момент публикации этого материала Sui Foundation и Mysten Labs не сделали публичных заявлений по инциденту Scallop. Согласно официальному описанию Scallop, протокол планирует провести полный аудит всех существующих старых версий пакетов; сроки аудита пока не определены.
Часто задаваемые вопросы
Каково время возникновения этой уязвимости и масштаб потерь?
Согласно официальному объявлению Scallop на X-платформе, атака произошла 26 апреля 2026 года (в воскресенье) в 12:50 UTC: злоумышленник извлёк около 150,000 SUI из заброшенного контракта вознаграждений sSUI spool. Основной пул средств для кредитования и депозиты пользователей на других рынках не пострадали.
Какие официальные обязательства Scallop принял в связи с этой атакой?
Согласно официальному заявлению Scallop, протокол заморозил затронутые контракты в течение нескольких минут после атаки и восстановил полную функциональность всех операций в 14:42 UTC (примерно через два часа после публикации объявления). Scallop подтверждает, что все потери будут полностью компенсированы за счёт средств компании, что доходы пользователей не пострадают, и что протокол планирует провести полный аудит всех существующих старых версий пакетов.
В чём заключалась основная техническая причина этой уязвимости и как она связана с технической архитектурой Sui Network?
Согласно независимому on-chain анализу, уязвимость возникла из неинициализированного счётчика last_index в заброшенном V2 spool-пакете, развернутом в ноябре 2023 года. В Sui Network развернутые пакеты неизменяемы; если явно не настроен контроль версий, старые версии всё ещё могут вызываться, что позволило злоумышленнику использовать заброшенный код более чем 17-месячной давности для извлечения 150,000 SUI.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
State Street и Galaxy запускают фонд SWEEP на Solana с $200M Ondo Investment
Во вторник в объявлении говорится, что State Street и Galaxy запустили на Solana фонд State Street Galaxy Onchain Liquidity Sweep Fund (SWEEP) — токенизированный инвестиционный инструмент, который позволяет инвесторам сводить стейблкоины в приносящий доход актив для круглосуточного (24/7) ончейн-управления ликвидностью. Ondo Finance
GateNews1м назад
Майкл Сейлор нарушил позицию «никогда не продавать»: Strategy или продажа BTC для выплаты дивидендов
Майкл Сейлор впервые допустил, что может начать продавать BTC для выплаты дивидендов, нарушив давнее обещание «никогда не продавать». В статье рассматриваются причины смены позиции, влияние на рынок и дальнейшие тенденции.
GateInstantTrends2м назад
Биткоин растёт на фоне ожиданий активации on-chain экосистемы на базе STRC, 6 мая
Согласно Пак Санг-хёку, главному редактору Digital Asset, 6 мая Bitcoin вырос на фоне растущих рыночных ожиданий относительно активации on-chain-экосистемы на базе STRC компании Strategy. STRC — токен бессрочной преференциальной акции от крупнейшего биткоин-держателя в мире Strategy — размещается как обеспечение
GateNews35м назад
Toncoin подскакивает на 36% за 24 часа, поскольку Telegram берет под контроль сеть TON и снижает комиссии до $0,0005
Основатель Telegram Павел Дуров заявил, что Toncoin вырос на 36% за 24 часа после того, как Telegram объявил о намерении взять на себя прямой операционный контроль над The Open Network (TON), заменив TON Foundation. Токен поднялся примерно до $1,86 — это его самый высокий уровень за четыре месяца.
GateNews53м назад
WLFI-экосистема AI-проект WorldClaw представила агентную операционную систему: даже без раскрытия бренда все равно можно продать за $10 000?
Семья Трампа вновь запускает криптопроект World Liberty Financial (WLFI) — в партнёрстве с WorldClaw представлен универсальный вход для AI-моделей WorldRouter. Платформа нацелена на объединение агентской экосистемы, включающей 300 AI-моделей: максимальный платный тариф стоит почти 10 000 долларов, но в комплекте вместо чего-то ожидаемого идёт аппаратное устройство с «не раскрытыми брендом и операционной системой», что вызвало сомнения у внешнего сообщества.
@WorldClawAI расширяет доступ к AI, а $WLFI играет ключевую роль в экосистеме. Пользователи могут получать доступ к 300+ моделям через WorldRouter, а агенты могут
ChainNewsAbmedia1ч назад
DeepBook запускает рынок прогнозов на тестовой сети Sui
По данным Foresight News, DeepBook — DeFi-протокол в сети Sui — запустил DeepBook Predict, рынок предсказаний, на тестовой сети. Predict разработан в сотрудничестве с сервисом оценки опционов Block Scholes и поддерживает бинарные опционы, колл, пут и спред-опционы, а также с использованием плеча
GateNews1ч назад
