Sui Network-те орналасқан Scallop ақша нарығы жексенбі күні хакердің протоколға тиесілі sSUI spool-ға байланған ескі сыйақы келісімшартын бұзып, шамамен 150 000 SUI-дан айырылды.
Команда оқиға орын алған сәттен кейін бірнеше минут ішінде зардап шеккен келісімшартты бұғаттап, шығынды толықтай қазынадан өтеуге уәде етті. Негізгі операциялар екі сағаттан аз уақыт ішінде қайта жанданды.
Sui-де тағы бір эксплойт негізгі емес, шеткі кодтан табылды
Scallop 26 сәуір күні сағат 12:50 UTC-де Х желісінде жарияланған ресми хабарламасында оқиға туралы мәлімдеді. Хакер sSUI spool үшін сыйақы беретін шеткі келісімшартты нысанаға алды. Бұл spool – SUI депозиттері үшін протоколдағы ынталандыру тетігі.
Команданың айтуынша, зардап шеккен келісімшарт шұғыл түрде бұғатталған. Негізгі қарызға беру және қарыз алу пулдарына тиіспеген. Қалған барлық Scallop нарығында қолданушылардың депозиттері сақталып қалды.
Екі сағаттан кейін, Scallop командасы негізгі келісімшарттардағы бұғаттың шешілгенін растады. 14:42 UTC-де қаражатты енгізу және шығару қайта іске қосылды.
Sui желісіндегі қолданушылардың басым бөлігі таңертеңгі оқиғадан зардап шеккен жоқ.
«Scallop залалдың 100%-ын толығымен өтейді», – деп мәлімдеді ақша нарығы өз хабарламасында.
2023 жылы жарияланған ескі пакет коды эксплойтқа себеп болды
Тәуелсіз он-чейн талдаулар шабуылға кіру нүктесі ретінде ескі V2 spool пакетіне назар аударады. Scallop бұл кодты 2023 жылдың қарашасында жариялаған, яғни шабуылға дейін 17 айдан астам уақыт бұрын орналастырған. Sui желісінде орналастырылған пакеттер өзгертілмейді, яғни ескі нұсқалар версия шектеуі қойылмағанша, қолдануға қолжетімді болып қалады.
Қате стейкерлер үшін жиналған сыйақыны есептейтін, инициализацияланбаған last_index есептегішіне байланысты туындады. Хакер шамамен 136 000 sSUI стейкингке салып, осы қатені пайдаланды.
Математикалық тұрғыдан алып қарағанда, жүйе осы позиция бар бастапқы сәттен, яғни spool 2023 жылдың тамыз айында іске қосылғаннан бері болды деп қабылдады.
Spool индексі 20 ай ішінде шамамен 1,19 млрд-қа дейін өсті. Бұл хакерге 162 трлн сыйақы ұпайын иеленуге мүмкіндік берді. Сол ұпайлар 150 000 SUI-ға бірде-бір айырбасталып, сыйақы пулы босатылды.
6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL транзакция хэші он-чейн дәлелін көрсетеді.
Sui DeFi-да қайталанатын сценарий
Бұл оқиға соңғы апталарда болған бірнеше Sui эксплойттарынан кейін орын алды. Осы айдың басында Volo Protocol шеткі келісімшартқа қатысты ұқсас оқиғада шамамен 3,5 млн доллар жоғалтты. Әрбір жағдайда шабуылшылар негізгі протокол логикасын емес, шеткі келісімшарттарды нысанаға алды.
Сондай-ақ, өткен аптада Ethereum желісінде ірі көпір инциденті орын алған болатын. Ол кезде 292 млн долларлық негізсіз өтімді restaking токендері шығарылған. Екі шабуыл да демалыс күндері болған, ол уақытта өтімділік аз болып, жедел жауап беру мерзімі ұзарады.
Sui Foundation және Mysten Labs тарапынан бұл жайтқа қатысты ресми пікір жарияланған жоқ.
Алайда Scallop үшін қаржылық залал шектелген деңгейде қалды. Протокол шығынды толықтай өзі өтеп, қолданушылардың табысына әсер етпейтінін растады.
Толық постмортем әлі жарияланған жоқ. Дегенмен, алдағы уақытта барлық ескі пакеттерге толық аудит жасап, оның нәтижесін жариялау ықтимал, бұл Sui DeFi қауымдастығында кең ауқымды реакция қалыптастыруы мүмкін.
Тереңірек сұрақ Sui құрылысшылары өзгертілмейтін код пен ұмыт қалған осал беттерді қалай басқарғаны жөнінде болып тұр.
