Scallop, et pengemarked på Sui Network, mistet rundt 150 000 SUI på søndag etter at en angriper tømte en foreldet belønningskontrakt knyttet til protokollens sSUI spool.
Teamet frøs den berørte kontrakten i løpet av få minutter og lovet full tilbakebetaling fra sitt eget fond. Kjerneoperasjonene ble gjenopptatt på under to timer.
Nok et Sui-angrep rammer perifer kode, ikke kjernen i protokollen
Scallop offentliggjorde hendelsen klokken 12:50 UTC 26. april i en kunngjøring på X. Angriperen rettet seg mot en sidekontrakt som gir belønninger til sSUI spool. Denne spoolen er protokollens insentivlag for SUI-innskyttere.
Den berørte kontrakten ble umiddelbart fryst, ifølge teamet. Kjernepoolene for utlån og innlån forble urørt. Brukerinnskudd var trygge i alle andre Scallop-markeder.
To timer senere bekreftet Scallop at frysingen var opphevet for kjernens kontrakter. Uttak og innskudd ble gjenopptatt klokka 14:42 UTC.
De fleste brukerne på Sui-nettverket ble ikke påvirket av hendelsene denne morgenen.
“Scallop vil dekke 100 % av tapet,” uttalte pengemarkedet på X.
Gammel kodepakke fra 2023 lå bak angrepet
Uavhengige analyser på blokkjeden peker på en foreldet V2 spool-pakke som inngangspunkt. Scallop publiserte koden i november 2023, mer enn 17 måneder før angrepet. På Sui er utrullede pakker uforanderlige. Gamle versjoner kan fortsatt kalles opp med mindre de er eksplisitt versjonslåst.
Feilen omhandlet en uinitialisert last_index-teller, som holder oversikt over opptjente belønninger for stakere. Angriperen satte inn rundt 136 000 sSUI for å utnytte svakheten.
Denne utregningen behandlet posisjonen som om den hadde eksistert siden spoolen ble lansert i august 2023.
Spool-indeksen hadde vokst til omtrent 1,19 milliarder over 20 måneder. Dette lot angriperen hente ut rundt 162 billioner belønningspoeng. Disse ble innløst én til én for 150 000 SUI fra belønningspoolen.
Transaksjonshashen 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL viser blokkjede-beviset på uttaket.
Et velkjent mønster i Sui DeFi
Hendelsen kommer etter flere Sui-angrep de siste ukene. Volo Protocol mistet omtrent $ 3,5 millioner tidligere denne måneden i en lignende sak med perifer kode. Hver gang har angriperne gått etter sidekontrakter i stedet for kjernelogikken til protokollen.
Dette skjer også kun en uke etter en stor bro-hendelse på Ethereum, hvor det ble skapt rundt $ 292 millioner i ubakede liquid restaking-tokens. Begge angrepene fant sted i helgene, når likviditeten er lav og reaksjonstiden kan bli lengre.
Verken Sui Foundation eller Mysten Labs har kommet med noen offentlig uttalelse om saken.
For Scallop ser det imidlertid ut til at det økonomiske tapet er avgrenset. Protokollen har bekreftet at de vil dekke hele tapet uten å redusere brukernes avkastning.
Teamet har ennå ikke publisert en full gjennomgang, men det er ventet at en full revisjon av alle gjenværende eldre pakker vil prege den videre Sui DeFi-responsen.
Det større spørsmålet er hvordan Sui-utviklere bør håndtere uforanderlig kode og glemte angrepsflater.
