Новости Протокол Scallop в сети Sui потерял $142 000 из-за ошибки в старом коде

[MariSokol369]

Сегодня стало известно об успешной атаке на крупнейший денежный рынок экосистемы Sui — проект Scallop. Злоумышленник сумел вывести из пула вознаграждений около $142 000 в токенах SUI, воспользовавшись уязвимостью в контракте, который не обновлялся более года.



Детали инцидента:

• Слабое звено: Атака была направлена на вспомогательный контракт версии spool V2, развернутый еще в ноябре 2023 года.
• Техническая ошибка: Взломщик использовал баг с неинициализированной переменной last_index, отвечающей за учет наград.
• Механика: Это позволило хакеру создать новый аккаунт и мгновенно получить выплаты так, будто он участвовал в программе вознаграждений с самого начала.
• Сокрытие следов: Украденные средства были быстро прогнаны через локальный миксер (аналог Tornado Cash) для усложнения трекинга.

Что важно знать пользователям:

• Средства в безопасности: Основной протокол кредитования не пострадал, уязвимость затронула только старый механизм бонусов.
• Компенсация: Команда Scallop пообещала полностью возместить убытки из собственного казначейства, так что доходность пользователей не снизится.
• Скорость реакции: Контракт был заморожен за считанные минуты, а ввод и вывод средств восстановили менее чем через два часа после инцидента.

На текущий момент взломщик уже вышел на связь и предложил вернуть 80% суммы в формате «белого хакерства». Тем временем к аудиторским компаниям OtterSec и MoveBit, которые проверяли код, у сообщества возникли серьезные вопросы.