Scallop, Sui Networkin rahamarkkina, menetti noin 150 000 SUI sunnuntaina, kun hyökkääjä tyhjensi vanhentuneen palkintosopimuksen, joka oli sidottu protokollan sSUI-spooliin.
Tiimi jäädytti kyseisen sopimuksen muutamassa minuutissa ja lupasi korvata tappiot kokonaan omasta kassastaan. Keskeiset toiminnot jatkuivat alle kahdessa tunnissa.
Toinen Sui-hyökkäys osui oheiskoodiin, ei ydinsopimukseen
Scallop kertoi tapauksesta julkisesti X:ssä 26. huhtikuuta klo 12.50 UTC. Hyökkääjä kohdisti hyökkäyksensä oheissopimukseen, joka jakoi palkintoja sSUI-spoolissa. Kyseinen spool on protokollan kannustekerros SUI-talletuksille.
Vaikutettu sopimus jäädytettiin välittömästi tiimin mukaan. Keskeiset laina- ja lainauspoolit säilyivät koskemattomina. Käyttäjien talletukset pysyivät turvassa kaikissa muissa Scallop-markkinoissa.
Kaksi tuntia myöhemmin Scallop vahvisti, että ydinsopimusten jäädytys oli purettu. Nostot ja talletukset jatkuivat klo 14.42 UTC.
Suurin osa Sui Networkin käyttäjistä ei joutunut tapahtumien vaikutusten kohteeksi aamun aikana.
“Scallop korvaa koko tappion sataprosenttisesti,” rahamarkkina kertoi.
Vanhentunut pakettikoodi vuodelta 2023 mahdollisti hyväksikäytön
Riippumattomat ketjuanalyysit osoittavat, että hyökkäyksen alkusyy oli vanhentunut V2-spool-paketti. Scallop julkaisi kyseisen koodin marraskuussa 2023, yli 17 kuukautta ennen hyökkäystä. Suissa käyttöön otetut paketit ovat muuttumattomia. Vanhemman version käyttö on mahdollista, ellei sitä ole erikseen estetty versiokohtaisesti.
Bugi liittyi alustamattomaan last_index-laskuriin, joka mittaa kertynyttä palkintoa panostajille. Hyökkääjä panosti noin 136 000 sSUI:ta hyödyntääkseen tätä haavoittuvuutta.
Laskennassa positio tulkittiin ikään kuin se olisi ollut olemassa siitä lähtien, kun spool avattiin elokuussa 2023.
Spool-indeksi oli kasvanut noin 1,19 miljardiin 20 kuukaudessa. Tämän ansiosta hyökkääjä pystyi keräämään noin 162 biljoonaa palkintopistettä. Ne lunastettiin suoraan suhteessa yhdellä pisteellä 150 000 SUI:ksi palkintopoolista.
Transaktiohashi 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL osoittaa ketjussa todisteen rahojen siirrosta.
Tuttu kuvio Sui DeFi -alustoilla
Tilanne seuraa useita Sui-verkkoon kohdistuneita hyökkäyksiä viime viikkoina. Volo Protocol menetti noin 3,5 miljoonaa dollaria aiemmin tässä kuussa samanlaisessa oheissopimukseen kohdistuneessa tapauksessa. Kaikissa tapauksissa kohteena olivat oheissopimukset, eivät ydintason protokollalogikka.
Viikkoa aiemmin tapahtui myös merkittävä silta-incidentti Ethereumissa, jossa syntyi noin 292 miljoonan dollarin arvosta katteettomia likvidejä restaking-tokeneita. Hyökkäykset tapahtuivat viikonloppuna, jolloin likviditeetti on vähäistä ja vasteajat voivat venyä.
Kumpikaan Sui Foundation eikä Mysten Labs ole julkaissut asiasta virallista lausuntoa.
Scallopin osalta taloudelliset vahingot näyttävät kuitenkin rajatuilta. Protokolla ilmoitti ottavansa koko tappion omalle vastuulleen ilman, että käyttäjien tuottoja heikennetään.
Tiimi ei ole vielä julkaissut kattavaa selvitystä tapahtuneesta. Todennäköisesti koko jäljellä olevan vanhan koodin tarkastus ja sen julkaisu tulevat vaikuttamaan laajemmin Sui DeFi -markkinaan.
Keskeinen kysymys jatkossa on, miten Sui-kehittäjät tulisi hallita muuttumatonta koodia ja unohtuneita hyökkäyspintoja.
