Exploit-ul Scallop Drenează 150K SUI Printr-un Contract Depreciat în Timp ce o Vulnerabilitate Ascunsă Pândește de 17 Luni

Scallop Confirmă Exploatarea Țintită: 150.000 de tokeni SUI Sustrași din Pool-ul de Recompense sSUI.

Protocolul DeFi bazat pe Sui, Scallop, a confirmat că a fost ținta unui exploit care a drenat aproximativ 150.000 SUI din pool-ul său de recompense sSUI, dezvăluind totodată un bug vechi ascuns într-un smart contract depreciat.

Conform declarației oficiale a protocolului, aceștia au observat că atacatorul a ocolit complet codul sursă activ și interfețele SDK standard. În schimb, acesta a apelat o versiune depreciată a pachetului V2 datând din noiembrie 2023, care era încă on-chain, dar neutilizată de luni de zile.

Acest nivel de precizie a atras o atenție considerabilă în întreg ecosistemul. Acest exploit implică fie o inginerie inversă aprofundată, fie că cineva era foarte familiarizat cu arhitectura contractului.

Cel mai remarcabil, vulnerabilitatea a rămas nedetectată timp de aproape 17 luni, deoarece ecosistemul a migrat la versiuni noi de contracte. Scallop a confirmat incidentul pe Twitter și a declarat că utilizatorii sunt în siguranță în prezent, deoarece au fost implementate măsuri imediate de limitare.

Exploatarea Mecanismului Defectuos de Calcul al Recompenselor

Exploitul evidențiază o eroare critică în logica de calcul al recompenselor din contractul depreciat. Aceasta utilizează ceea ce se numește un „spool index", o valoare în continuă creștere care reprezintă totalul recompenselor acumulate în acel pool în timp.

În funcționarea normală, fiecare cont de utilizator păstrează un last_index la momentul staking-ului. Recompensele sunt calculate pe baza diferenței dintre indexul curent și valoarea stocată, astfel încât niciun utilizator nu poate câștiga recompense înainte de a începe staking-ul.

În vechiul pachet V2 însă, conturile spool nou create nu erau niciodată inițializate; last_index era întotdeauna zero. Această eroare a creat o lacună majoră.

Golirea Pool-ului Ducând la o Explozie Masivă de Puncte

Rezultatele acestui bug au fost imediate și grave. Indexul spool crescuse la aproape 1,19 miliarde pe parcursul a aproximativ 20 de luni. Atacatorul a primit un număr exagerat de 162 de trilioane de puncte de recompensă, calculat uniform cu 136.000 sSUI în staking.

Agravând situația, pool-ul de recompense avea un raport de conversie 1:1, astfel încât fiecare punct de recompensă se convertea direct în tokeni SUI. Acest lucru i-a permis atacatorului să convertească fără probleme punctele obținute prin inflație artificială în active reale.

Exploitul a dus la golirea pool-ului de recompense, care conținea aproximativ 150.000 SUI la acel moment. Deși recompensele obținute de atacator depășeau cu mult soldul pool-ului, a fost extrasă doar lichiditatea disponibilă.

Contractele Imuabile Creează o Suprafață de Atac Permanentă

Acest incident ilustrează una dintre provocările sistemice legate de pachetele implementate în ecosistemul Sui: pachetele implementate sunt imuabile. Odată ce un smart contract ajunge on-chain, acesta nu poate fi șters sau modificat. Toate versiunile, trecute și prezente, rămân apelabile pentru totdeauna.

Deși Scallop a redirecționat utilizatorii către un pachet nou și mai sigur prin SDK-ul lor, vechiul contract V2 era în continuare accesibil. Obiectele Spooled și RewardsPool sunt partajate, astfel că atacatorul a putut ocoli complet logica actualizată, deoarece nu există restricții de versiune aplicate asupra lor.

Acest tip de vulnerabilitate, reclasificată drept risc de „pachet depășit", scoate la lumină un punct orb important pentru multe sisteme DeFi. Contractele vechi pot fi vectori de atac permanenți, deoarece nu există verificări explicite de versiune integrate în obiectele partajate.

Tipare Mai Largi de Vulnerabilități Non-Centrale în Creștere

Exploitul Scallop este un eveniment, nu un rezultat fără sfârșit al unui trend mai larg care a continuat pe tot parcursul lunii aprilie. Mai multe atacuri recente au provenit nu din logica de bază a protocolului, ci din aspecte periferice sau neglijate. Vulnerabilitățile în infrastructura RPC a KelpDAO, stratul de confidențialitate (MWEB) pentru Litecoin și bug-urile de control al accesului în sistemele de adaptare de la Aethir sunt doar câteva exemple.

În toate cazurile, sursa a fost externă contractului principal, în module secundare sau vechi. Utilizarea unui astfel de tipar indică faptul că adversarii și-au schimbat tacticile. Hackerii petrec mai puțin timp pe contractele de bază, care sunt auditate frecvent, și mult mai mult timp atacând marginile ecosistemului care au o monitorizare perimetrală foarte slabă. Aceasta necesită o schimbare de paradigmă pentru dezvoltatori și auditori. Simpla securizare a noilor implementări nu este suficientă; toate contractele istorice, punctele de integrare și componentele de infrastructură trebuie tratate ca suprafață activă de amenințare.

Compensare Integrală și Recuperarea Sistemului de către Scallop

Scallop a adoptat o abordare rapidă și decisivă în răspunsul la exploit. Contractul atacat a fost înghețat imediat, ceea ce înseamnă că doar un pool de recompense a fost compromis de acest atac.

Grupul a confirmat că contractele de bază sunt în continuare în siguranță și că niciun depozit al utilizatorilor nu a fost compromis. Celelalte pool-uri rămân neafectate, iar funcțiile principale ale protocolului sunt active imediat ce componentele neafectate au fost dezghețate.

În mod notabil, Scallop s-a angajat să compenseze 100% din pierderile rezultate în urma exploitului. Acest angajament demonstrează responsabilitate în remedierea breșelor de securitate neașteptate și urmărește recâștigarea încrederii utilizatorilor.

Depozitele și retragerile au fost reluate, sugerând că stabilitatea sistemului a fost restaurată.

Lecții din Lumea Securității DeFi

Incidentul Scallop întruchipează o lecție cheie pentru ecosistemul DeFi în ansamblu. Dacă lucrezi într-un mediu de smart contracte imuabile, securitatea nu este niciodată o problemă rezolvată definitiv.

Orice versiune a contractului tău implementat face parte din sistemul activ. Chiar și codul inactiv poate constitui un punct unic de eșec la luni sau ani distanță, dacă garanțiile adecvate pot fi ușor ocolite.

Pe viitor, ecosistemul trebuie să adopte practici mai riguroase de control al versiunilor, monitorizare continuă a contractelor vechi și extinderea domeniului de audit pentru a acoperi toate implementările anterioare. Așa cum demonstrează exploitul, atacatorii sunt pregătiți să analizeze în profunzime istoricul unui protocol pentru a găsi vulnerabilități pe care le pot exploata.

În cele din urmă, finanțele descentralizate vor deveni la fel de durabile ca protocoalele care se pot adapta la acest peisaj de amenințări în continuă schimbare.

Declinarea responsabilității: Aceasta nu reprezintă consultanță de tranzacționare sau investițională. Efectuați întotdeauna propriile cercetări înainte de a cumpăra orice criptomonedă sau de a investi în orice servicii.

Urmărește-ne pe Twitter @themerklehash pentru a fi la curent cu cele mai recente știri despre Crypto, NFT, AI, Securitate Cibernetică și Metaverse!

Articolul Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months a apărut prima dată pe The Merkle News.