Scallop, грошовий маркет на Sui Network, втратив близько 150 000 SUI 27 квітня 2025 року внаслідок компрометації застарілого контракту винагород, пов’язаного зі sSUI-пулом протоколу.
Протягом кількох хвилин команда заморозила відповідний контракт і одразу оголосила про намір здійснити повне відшкодування втрат із власного казначейства. Ключова функціональність відновилася менш ніж за дві години.
Ще один інцидент з експлуатацією периферійного коду Sui — основна архітектура протоколу не порушена
Scallop проінформував про інцидент о 12:50 UTC 27 квітня через офіційне повідомлення в мережі X. Зловмисник здійснив атаку на сторонній контракт, який відповідає за нарахування винагород у sSUI-пулі. Сам пул — інструмент стимулювання для депонентів SUI у межах протоколу.
Команда оперативно ініціювала заморожування ураженого контракту. Основні пулли для кредитування й позик залишились недоторканими. Всі депозити користувачів на інших ринках Scallop перебували під захистом.
Через дві години Scallop підтвердив відновлення стандартної роботи основних контрактів. Проведення депозитів і зняття коштів було відновлено о 14:42 UTC.
Більшість користувачів Sui network не зазнали негативного впливу внаслідок інциденту того ранку.
«Scallop повністю компенсує 100% втрат», – йдеться у офіційній заяві платформи.
До експлуатації призвів застарілий пакетний код від 2023 року
Незалежний ончейн-аналіз вказує, що точкою входу для атаки стала застаріла версія пакету V2 spool. Scallop опублікував початковий код ще у листопаді 2023 року — понад 17 місяців до події. На Sui розгорнуті пакети залишаються незмінними (immutable): попередні версії продовжують виконуватися, якщо спеціально не обмежити доступ за версією.
Дефект полягав в неініціалізованому лічильнику last_index — він обліковує накопичені винагороди для учасників стейкінгу. Зловмисник проініціював стейкінг на суму близько 136 000 sSUI, що і дозволило скористатися вразливістю.
Обчислення припускало, що дана позиція існувала у пулі із самого старту — з серпня 2023 року.
На момент експлуатації індекс пулу виріс орієнтовно до 1,19 млрд за 20 місяців. Це надало змогу експлуататору отримати близько 162 трлн reward points (нарахованих бонусних балів). Дані пункти конвертувалися у співвідношенні один до одного у 150 000 SUI із резерву винагород.
Ончейн-транзакція з хешем 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL містить підтвердження виведення коштів.
Проблеми схожого характеру трапляються у DeFi проєктах на Sui
Цей інцидент — ще один у низці атак на екосистему Sui за останні тижні. Наприклад, Volo Protocol раніше втратив приблизно $3,5 млн саме через компрометацію периферійних модулів. Мішенню знову були другорядні контракти, а не фундаментальна логіка протоколу.
Подія відбулася всього через тиждень після масштабного інциденту на мосту в мережі Ethereum, наслідком якого стали $292 млн незабезпечених токенів liquid restaking. В обох випадках компрометацію було реалізовано у вихідні, коли ринкова ліквідність перебуває на мінімальних рівнях, а реакція спільноти сповільнюється.
Ані Sui Foundation, ані Mysten Labs офіційних коментарів із приводу ситуації не надали.
У випадку зі Scallop, потенційні фінансові наслідки залишаються контрольованими: проєкт заявив про готовність самостійно покрити всю суму збитків, не зменшуючи доходи користувачів.
Детальний технічний розбір (post-mortem) команда наразі не оприлюднила. Очікується ґрунтовний аудит усіх старих пакетів, результати якого і визначатимуть реакцію спільноти Sui DeFi в майбутньому.
Питання з ширшою перспективою: як командам Sui управляти ризиками, пов’язаними з immutable-кодом та малодослідженими зонами атаки?
