Scallop, et pengebørsmarked på Sui Network, mistede cirka 150.000 SUI i søndags, efter at en angriber tømte en forældet rewards-kontrakt forbundet med protokollens sSUI spool.
Holdet frøs den ramte kontrakt inden for få minutter og lovede fuld kompensation fra deres egen fond. Kerneaktiviteter blev genoptaget på under to timer.
Endnu et Sui-angreb rammer sidekode, ikke selve protokollen
Scallop oplyste om hændelsen kl. 12:50 UTC den 26. april via en offentlig besked på X. Angriberen målrettede en sidekontrakt, der håndterede rewards til sSUI spool. Det er protokollens incitamentslag for SUI-indskydere.
Den påvirkede kontrakt blev straks frosset, oplyste teamet. Kernen for udlån og lån forblev urørt. Brugerindskud var sikre på alle andre Scallop-markeder.
To timer senere bekræftede Scallop, at kernen igen var åbnet. Udbetalinger og indskud blev genoptaget kl. 14:42 UTC.
De fleste brugere på Sui-netværket var ikke berørt af morgendagens hændelser.
“Scallop dækker 100% af tabet,” skrev pengebørsmarkedet.
Forældet kode fra 2023 lå bag angrebet
Uafhængig on-chain-analyse peger på en forældet V2 spool-pakke som indgang. Scallop udgav koden i november 2023, over 17 måneder før angrebet. På Sui kan deployede pakker ikke ændres. Gamle versioner forbliver tilgængelige, medmindre de specifikt afgrænses med versioner.
Fejlen omhandlede en uinitialiseret last_index-tæller, som sporer akkumulerede belønninger for stakere. Angriberen stak omkring 136.000 sSUI for at udnytte det.
Udregningen behandlede positionen, som om den havde eksisteret siden spoolen blev startet i august 2023.
Spool-indekset var vokset til cirka 1,19 milliarder over 20 måneder. Det gjorde det muligt for angriberen at høste omkring 162 billioner reward-point. Disse blev indløst én-til-én for 150.000 SUI fra belønningspuljen.
Transaktionshash 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL viser beviset på udtrækket på kæden.
Et velkendt mønster på Sui DeFi
Hændelsen følger en række Sui-angreb de seneste uger. Volo Protocol mistede omkring 3,5 millioner dollars tidligere i denne måned ved et lignende sideangreb. Alle tilfælde har ramt sidekontrakter frem for protokollens kernefunktion.
Desuden skete det en uge efter en større brohændelse på Ethereum, der skabte omkring 292 millioner dollars i ustøttede liquid restaking-tokens. Begge angreb skete i weekenden, hvor der er lav likviditet og langsommere reaktionstid.
Hverken Sui Foundation eller Mysten Labs har udtalt sig offentligt om sagen.
Men for Scallop lader det finansielle tab til at være begrænset. Protokollen har bekræftet, at den absorberer hele tabet uden at påvirke brugerudbyttet.
Holdet har endnu ikke offentliggjort en fuld redegørelse, men planlægger formentlig en samlet revision af alle resterende ældre pakker, hvilket kan få betydning for en bredere reaktion i Sui DeFi.
Det centrale spørgsmål er, hvordan Sui-udviklere bør håndtere uforanderlig kode og glemte angrebsflader.
