Сообщение Gate News, 26 апреля — Scallop Protocol, платформа кредитования в блокчейне Sui, пострадала от эксплойта с флэш-кредитом, нацеленного на устаревший вспомогательный контракт, связанный с ее пулом вознаграждений sSUI, что привело к потере приблизительно $142,000 (150,000 SUI). Атака использовала манипуляции данными оракула по ценам, чтобы искусственно снизить котировки обмена SUI/USDC и заимствовать активы по искаженным ценам; при этом злоумышленник погасил флэш-кредит в рамках той же транзакции и присвоил разницу.
Ключевая проблема возникла из-за устаревшего контракта V2, развернутого в ноябре 2023 года и оставшегося вызываемым в сети. В этом устаревшем контракте критическая переменная под названием “last_index” никогда не инициализировалась при создании новых аккаунтов. Эта уязвимость позволила злоумышленнику заявлять о получении вознаграждений так, будто он стейкал с момента запуска пула. Поскольку индекс вознаграждений вырос до 1,19 млрд за 20 месяцев, злоумышленник застейкал 136 000 sSUI, но получил зачисление 162 трлн очков. Поскольку пул вознаграждений работал по курсу 1:1, эти очки напрямую конвертировались в 162 000 SUI стоимостью вознаграждений. В пуле было только 150 000 SUI, и все средства были выведены. Данные on-chain показывают, что похищенные средства были быстро перенаправлены через сервис миксинга, что усложнило попытки восстановления.
Команда Scallop отреагировала тем, что временно приостановила операции, прежде чем разморозить ключевые контракты и возобновить все процессы. Протокол подтвердил, что эксплойт был изолирован только в устаревшем контракте с вознаграждениями и не повлиял на основной протокол или пользовательские депозиты: все средства остались в безопасности. Затем злоумышленник связался с командой, предложив вернуть 80% похищенных средств в обмен на награду за обнаружение уязвимости в рамках white-hat, и инцидент теперь находится в расследовании. Команда рассмотрит, как эта уязвимость ускользнула от обнаружения во время предыдущих аудитов у компаний, включая OtherSec и MoveBit.
После эксплойта цена SUI сохраняла устойчивость: она выросла примерно на 2% в течение 24 часов после атаки и торговалась на уровне $0.94 при дневном объеме торгов около $187 million. Инцидент отражает более широкий тренд в апреле 2026 года, когда крупные эксплойты в DeFi нацеливались на устаревшие контракты и уровни инфраструктуры, а не на логику основного протокола: совокупные потери превысили $600 million в 12 крупных инцидентах в течение месяца.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Сотни кошельков Ethereum одновременно взломаны, активы переведены
Сотни кошельков Ethereum (ETH), включая некоторые неактивные более семи лет, были одновременно скомпрометированы в необычном событии транзакций в сети Ethereum, сообщают Coin Bureau и криптовалютное сообщество. Активы из затронутых кошельков были переведены на один и тот же адрес,
CryptoFrontier1ч назад
Ключи больше не единственная защита: Bitgo добавляет 5 уровней проверок
Bitgo продвигает безопасность цифровых активов дальше частных ключей, используя пятиуровневую модель транзакций, призванную остановить манипуляции до выполнения. Система проверяет намерение, устройство, личность, поведение и политику, нацеливаясь на риски до того, как транзакции будут окончательно оформлены.
Ключевые выводы:
Bitgo представила пять
Coinpedia3ч назад
DeFi-платформа Carrot прекращает работу, став первой жертвой эксплойта $285M Drift Protocol
В объявлении Carrot от 30 апреля говорится, что децентрализованный протокол DeFi для получения дохода на базе Solana навсегда прекращает работу, став первой платформой, которая закрывается напрямую из-за эксплуатации Drift Protocol на сумму 285 миллионов долларов в начале апреля. Команда Carrot в публикации в X заявила, что взлом Drift был
GateNews4ч назад
Криптохаки достигли рекордного уровня в апреле: 20+ взломов (exploits) и потери на сумму $600 млн+
По данным DeFi Llama, число криптоатак выросло до рекордного уровня в апреле: более 20 эксплойтов стали самым взломанным месяцем в истории криптовалют по числу инцидентов. Общие потери превысили $600 миллионов, при этом взлом KelpDAO на $292 миллиона и хак Drift Protocol на $280 миллионов заняли соответственно t
GateNews10ч назад
Северокорейские шпионы нацелились на Drift в операции по краже $285M Theft Operation
## Операция по хищению при дрейфе
Спонсируемые государством Северной Кореей шпионы провели очную операцию, нацеленную на криптовалютную платформу Drift, чтобы вывести $285 миллионов, сообщает ряд сообщений. Операция включала месяцы прямого взаимодействия с целью.
## Более широкая киберугроза со стороны Северной Кореи
Согласно се
CryptoFrontier12ч назад
Purrlend пережил взлом безопасности на 1,52 млн долларов 25 апреля — инцидент затронул HyperEVM и MegaETH
Согласно официальному отчёту о инциденте Purrlend, 25 апреля протокол столкнулся с нарушением безопасности, что привело примерно к 1,52 миллиона долларов убытков в рамках развёртываний HyperEVM и MegaETH. Злоумышленники скомпрометировали мультисиг-кошелёк 2/3 и предоставили себе права администратора, включая
GateNews12ч назад
