Неизвестные вывели 150 тысяч SUI из пула ликвидности кредитной платформы
Кредитная платформа Scallop подверглась хакерской атаке в воскресенье. Злоумышленник вывел из системы около 150 тысяч SUI. Он воспользовался уязвимостью в устаревшем коде. Этот смарт-контракт отвечал за распределение вознаграждений вкладчикам.
Команда заблокировала скомпрометированный алгоритм за несколько минут. Разработчики обязались возместить финансовые потери за счет корпоративного казначейства. Основные операции платформы восстановили менее чем через два часа.
Хронология инцидента на блокчейне
Команда Scallop сообщила о случившемся 26 апреля в 12:50 UTC. Разработчики опубликовали официальное заявление в социальной сети X. Нападающий атаковал второстепенный код. Он управлял начислением бонусных баллов для пула sSUI. Данный механизм служил главным инструментом поощрения пользователей площадки.
Специалисты немедленно заморозили проблемный алгоритм. Базовые кредитные пулы остались в полной безопасности. Пользовательские депозиты на других рынках платформы также не пострадали. Спустя два часа руководство подтвердило снятие блокировки с главных контрактов. Операции ввода и вывода средств возобновились в 14:42 UTC.
События этого утра миновали большинство пользователей экосистемы. Представители площадки заявили:
«Scallop полностью покроет 100% убытков».
Техническая причина ошибки
Независимый анализ данных блокчейна указывает на устаревший пакет V2. Проект опубликовал эту часть системы в ноябре 2023 года. На момент атаки программному обеспечению было более семнадцати месяцев. Развернутые в данной сети пакеты остаются неизменяемыми. Старые версии функционируют до их явного программного ограничения.
Корень проблемы лежал в неинициализированном счетчике last_index. Программа использует его для отслеживания накопленных бонусов. Хакер внес около 136 тысяч sSUI для инициации технического сбоя. Математическая логика восприняла эту позицию неверно. Система решила, что монеты находились в пуле непрерывно с августа 2023 года.
За двадцать месяцев индекс пула вырос до 1,19 млрд. Это позволило злоумышленнику сгенерировать около 162 трлн бонусных баллов. Затем он конвертировал их по курсу один к одному. Так нападающий получил 150 тысяч SUI напрямую из резервного фонда. Транзакция с хешем 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL служит основным доказательством кражи.
Системные риски децентрализованных финансов
Событие продолжает серию проблем в инфраструктуре децентрализованных приложений. Ранее в текущем месяце схожий протокол Volo потерял около $3,5 млн. Причиной стала аналогичная периферийная ошибка — преступники атаковали исключительно второстепенные смарт-контракты. Базовая логика не подвергалась финансовому риску.
Неделей ранее произошел крупный инцидент в сети Ethereum. Там хакеры вывели средства через кроссчейн-мост. Действия взломщиков привели к появлению необеспеченных токенов на сумму $292 млн. Обе атаки случились в выходные дни. Традиционно в это время ликвидность на рынках снижается, а скорость реакции технических команд падает.
Организации Sui Foundation и Mysten Labs пока не комментировали текущую ситуацию. Для самой кредитной платформы финансовый ущерб выглядит ограниченным. Команда подтвердила готовность абсорбировать потерю. Доходность рядовых клиентов не снизится из-за кражи.
Разработчики пока не выпустили полный отчет о внутреннем расследовании. Они планируют опубликовать комплексный технический аудит. Проверка обязательно охватит все оставшиеся старые пакеты кода. Это определит дальнейшие стандарты безопасности сектора. Главной задачей разработчиков становится жесткий контроль за неизменяемым кодом.
The post Неизвестные вывели 150 тысяч SUI из пула ликвидности кредитной платформы appeared first on BeInCrypto.