Scallop Protocol потерял 142 000$ в результате флэш-кредита в сочетании с атакой на манипуляцию оракулом

Протокол Scallop подвергся атаке с использованием флэш-кредита в воскресенье. По имеющимся данным, злоумышленник похитил около 142 000$ (150 000 SUI) в рамках высокоточной атаки на манипуляцию ценовым оракулом. Атака не затронула основные контракты протокола, однако выявила серьёзный конструктивный изъян.

По имеющимся данным, злоумышленник воспользовался устаревшим вспомогательным контрактом, связанным с пулом вознаграждений sSUI протокола Scallop. Команда заверяет, что основной протокол остался нетронутым и все депозиты пользователей в безопасности. Однако убытки полностью ограничены этим изолированным участком.

Старый код или уязвимость оракула?

Аналитики полагают, что основная проблема заключалась в манипуляции кастомными ценовыми потоками оракула Scallop. Это позволило злоумышленнику искусственно занизить курс SUI/USDC и заимствовать активы по искажённым ценам. Затем флэш-кредит был погашен в рамках той же транзакции. В итоге подозреваемый забрал разницу.

Это соответствует знакомой схеме атак в DeFi, однако исполнение в данном случае было необычно точным. Злоумышленник не атаковал активный код или стандартные маршруты SDK. Он взаимодействовал со старым контрактом V2 от ноября 2023 года — версией, которая была оставлена, но оставалась вызываемой ончейн. Sui сохраняет все развёрнутые версии контрактов неизменными и доступными. Именно поэтому этот устаревший пакет стал скрытой поверхностью для атаки.

Цена Sui не пострадала после эксплойта. За последние 24 часа она выросла почти на 2%. На момент написания Sui торгуется на уровне 0,94$. Объём торгов за 24 часа составляет около 187 миллионов$.

Эксперт в своём посте отметил, что уязвимость была скрытой, но серьёзной. В устаревшем контракте ключевая переменная "last_index" никогда не инициализировалась при создании нового аккаунта. Это позволило злоумышленнику претендовать на вознаграждения, как если бы он стейкал с самого начала существования пула.

Поскольку индекс вознаграждений со временем вырос, злоумышленник смог зачислить себе весь пул вознаграждений в одной транзакции. Он отметил, что индекс Spool вырос до 1,19 млрд за 20 месяцев. 

Злоумышленник застейкал 136 тыс. sSUI и получил 162 триллиона очков. Однако в пуле вознаграждений действовал обменный курс 1:1 (числитель и знаменатель оба = 1), поэтому 162 трлн очков напрямую конвертировались в вознаграждения на сумму 162 тыс. SUI. В пуле было всего 150 тыс. SUI, и все они были полностью опустошены.

Ончейн данные показывают, что похищенные средства были быстро направлены через сервис смешивания, аналогичный Tornado Cash на Sui. Это делает возврат средств ещё более затруднительным.

Scallop возобновил работу после взлома

Команда Scallop отреагировала временной приостановкой операций. Затем они сообщили, что разморозили основные контракты и все операции возобновлены. В посте в X было подчёркнуто, что проблема не связана с основным протоколом и была изолирована в устаревшем контракте вознаграждений. В итоге депозиты пользователей не пострадали, и все средства остаются в безопасности. Вывод и пополнение средств теперь работают в штатном режиме.

По имеющимся данным, злоумышленник связался с командой и предложил вернуть 80% средств в обмен на вознаграждение по программе white-hat. Инцидент расследуется. Команда проверит, каким образом уязвимость прошла предыдущие аудиты компаний, таких как OtterSec и MoveBit.

Cryptopolitan сообщал, что многие крупные инциденты апреля 2026 года произошли не из-за логики основного протокола. Они возникли из-за старых контрактов, адаптеров или инфраструктурных слоёв, которые остаются доступными, но остаются без внимания. Совокупные потери превысили 750 миллионов$ к середине апреля. Только апрель 2026 года ознаменовался более чем 600 миллионами$ похищенных средств в рамках 12 крупных инцидентов. 

Kelp DAO и Drift Protocol в совокупности составили около 95% апрельских потерь. Атака на Kelp привела к возникновению безнадёжного долга в размере 177 миллионов$ на Aave. Тем временем Совет безопасности Arbitrum успешно заморозил 30 766 ETH (стоимостью около 71 миллиона$) из похищенных средств.

Hyperliquid по-прежнему является крупнейшим токеном в категории DeFi. Цена HYPE выросла на 10% за последние 30 дней. На момент написания он торгуется на уровне 41,95$. Chainlink занимает 2-е место. LINK торговался около 9,4$.

Ваш банк использует ваши деньги. Вам достаются крохи. Посмотрите наше бесплатное видео о том, как стать собственным банком