Exploit da Scallop drena 150K SUI através de contrato descontinuado enquanto vulnerabilidade oculta persiste por 17 meses

Scallop confirma exploit direcionado: 150.000 tokens SUI drenados do pool de recompensas sSUI.

O protocolo DeFi baseado em Sui, Scallop, confirmou que foi alvo de um exploit que drenou aproximadamente 150.000 SUI do seu pool de recompensas sSUI, revelando ao mesmo tempo um bug antigo oculto dentro de um smart contract descontinuado.

De acordo com a declaração oficial do protocolo, foi detetado que o atacante ignorou completamente a base de código ativa e as interfaces SDK padrão. Em vez disso, recorreu a uma versão de pacote V2 descontinuada, que remonta a novembro de 2023, que ainda estava on-chain mas permanecia sem utilização durante meses.

Este nível de precisão recebeu uma atenção considerável em todo o ecossistema. Este exploit implica uma engenharia reversa profunda ou que alguém possuía um grande conhecimento da arquitetura do contrato.

O mais notável é que a vulnerabilidade permaneceu sem ser detetada durante quase 17 meses porque o ecossistema migrou para novas versões de contrato. A Scallop recorreu ao Twitter para confirmar o incidente e afirmou que os utilizadores estavam seguros neste momento, uma vez que foram implementadas medidas de contenção imediatas.

Exploração de um mecanismo de cálculo de recompensas defeituoso

O exploit revela uma falha crítica na lógica de cálculo de recompensas do contrato descontinuado. Utiliza o que é denominado de "spool index", que é um valor em constante crescimento que representa o total de recompensas acumuladas nesse pool ao longo do tempo.

Durante o funcionamento normal, cada conta de utilizador mantém um last_index quando faz staking. As recompensas são calculadas com base na diferença entre o índice do momento e o valor armazenado, de modo que nenhum utilizador possa receber recompensas antes de começar a fazer staking.

No entanto, no pacote V2 antigo, as contas spool recém-criadas nunca eram inicializadas; o last_index era sempre zero. E este erro criou uma brecha de segurança significativa.

Drenagem do pool levando a uma acumulação massiva de pontos

Os resultados deste bug foram imediatos e graves. O spool index tinha subido para quase 1,19 mil milhões ao longo de cerca de 20 meses. O atacante foi recompensado com 162 biliões de pontos de recompensa inflacionados, definidos uniformemente com 136.000 sSUI em staking.

A agravar a situação, o pool de recompensas tinha uma taxa de conversão de 1:1, de modo que cada ponto de recompensa era convertido diretamente em tokens SUI. Isto permitiu ao atacante converter de forma eficiente os pontos obtidos através de inflação artificial em ativos reais.

O exploit levou ao esvaziamento do pool de recompensas, que continha cerca de 150.000 SUI naquele momento. Apesar das recompensas calculadas pelo atacante superarem em muito o saldo do pool, apenas a liquidez disponível foi extraída.

Contratos imutáveis criam uma superfície de ataque permanente

Este incidente ilustra um dos desafios sistémicos que existem com os pacotes implementados no ecossistema Sui: os pacotes implementados são imutáveis. Quando um smart contract vai on-chain, não pode ser eliminado nem modificado. Todas as versões, passadas e presentes, permanecem acessíveis para sempre.

Embora a Scallop tivesse redirecionado os utilizadores para um novo pacote mais seguro através do seu SDK, o antigo contrato V2 ainda estava acessível. Os objetos Spooled e RewardsPool são partilhados, pelo que o atacante conseguiu contornar completamente a lógica atualizada, uma vez que não existem restrições de versão sobre eles.

Este tipo de vulnerabilidade, que foi reclassificada como risco de "pacote obsoleto", revela um ponto cego importante para muitos sistemas DeFi. Os contratos legados podem ser vetores de ataque permanentes porque não existem verificações de versão explícitas incorporadas nos objetos partilhados.

Padrões de vulnerabilidade não-nucleares mais amplos em curso

O exploit da Scallop é um evento, não um resultado contínuo de uma tendência maior que tem vindo a acontecer ao longo de abril. Vários ataques recentes não tiveram origem na lógica central do protocolo, mas em aspetos periféricos ou negligenciados. Vulnerabilidades na infraestrutura RPC da KelpDAO, na camada de privacidade (MWEB) da Litecoin e bugs de controlo de acesso nos sistemas de adaptadores da Aethir são apenas alguns exemplos.

Em todos os casos, a origem era externa ao contrato principal e encontrava-se em outros módulos secundários ou legados. A utilização deste padrão indica que os adversários mudaram as suas táticas. Os hackers passam menos tempo nos contratos principais, que são amplamente auditados, e muito mais tempo a atacar as periferias do ecossistema que têm uma monitorização muito fraca do seu perímetro. Isto exige uma mudança de paradigma para os programadores e auditores. Garantir apenas as novas implementações não é suficiente; todos os contratos históricos, pontos de integração e componentes de infraestrutura devem ser tratados como superfície de ameaça ativa.

Compensação total e recuperação do sistema pela Scallop

A Scallop adotou uma abordagem rápida e decisiva na resposta ao exploit. O contrato atacado foi imediatamente congelado, o que significa que apenas um pool de recompensas foi comprometido por este ataque explorado.

O grupo confirmou que os contratos principais continuam seguros e que nenhum depósito de utilizador foi comprometido. Os restantes pools permanecem intactos e as funções principais do protocolo ficaram ativas assim que as partes não afetadas foram descongeladas.

Notavelmente, a Scallop comprometeu-se a compensar 100 por cento das perdas ocorridas como resultado do exploit. Este compromisso demonstra responsabilidade na resolução de potenciais falhas de segurança inesperadas e visa reconquistar a confiança dos utilizadores.

Os depósitos e levantamentos foram retomados, o que sugere que a estabilidade do sistema foi restaurada.

Lições do mundo da segurança DeFi

O incidente da Scallop encerra uma lição fundamental para o ecossistema DeFi como um todo. Quando se opera num ambiente de smart contract imutável, a segurança nunca é uma questão de configurar e esquecer.

Qualquer versão do seu contrato implementado faz parte do sistema em produção. Mesmo código inativo pode constituir um ponto único de falha meses ou anos mais tarde, se as salvaguardas adequadas forem fáceis de contornar.

Daqui em diante, o ecossistema precisa de adotar práticas mais rigorosas de controlo de versões, monitorização contínua de contratos legados e alargamento do âmbito das auditorias para cobrir todas as implementações anteriores. Como o exploit demonstra, os atacantes estão preparados para aprofundar o histórico de um protocolo em busca de vulnerabilidades que possam explorar.

No fim, as finanças descentralizadas tornar-se-ão tão duradouras quanto os protocolos que conseguirem adaptar-se a este panorama de ameaças em constante mudança.

Aviso: Este conteúdo não constitui aconselhamento de trading ou investimento. Faça sempre a sua própria pesquisa antes de comprar qualquer criptomoeda ou investir em quaisquer serviços.

Siga-nos no Twitter @themerklehash para se manter atualizado com as últimas notícias sobre Cripto, NFT, IA, Cibersegurança e Metaverso!

The post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months appeared first on The Merkle News.