Scallop Protocol втратив $142K у результаті флеш-кредиту в поєднанні з атакою маніпуляції оракулом

У неділю протокол Scallop зазнав атаки з використанням флеш-кредиту. За повідомленнями, зловмисник вивів близько $142 000 (150 000 SUI) у тому, що виглядає як вкрай цілеспрямована атака з маніпуляцією оракулом. Ця атака не торкнулася основних контрактів протоколу, але виявила глибший конструктивний недолік.

За повідомленнями, зловмисник скористався застарілим допоміжним контрактом, пов'язаним із пулом винагород sSUI протоколу Scallop. Команда запевняє, що основний протокол залишається неушкодженим і всі депозити користувачів у безпеці. Однак збитки повністю обмежені тією ізольованою частиною.

Старий код чи вразливість оракула?

Аналітики вказують, що основною проблемою стала маніпуляція власними потоками цін оракула Scallop. Це дозволило зловмиснику штучно занизити курс SUI/USDC і позичити активи за цими спотвореними цінами. Після цього флеш-кредит було повернуто в межах тієї самої транзакції. Зрештою, підозрюваний забрав різницю.

Це відповідає знайомому патерну атак у DeFi, однак виконання в цьому випадку було незвично точним. Зловмисник не атакував активний код чи стандартні маршрути SDK. Він взаємодіяв зі старішим контрактом V2 листопада 2023 року — версією, яку було залишено, але вона залишалася доступною для виклику ончейн. Sui зберігає всі розгорнуті версії контрактів незмінними та доступними. Саме тому цей застарілий пакет став прихованою поверхнею атаки.

Ціна Sui не постраждала після експлойту. За останні 24 години вона зросла майже на 2%. На момент публікації Sui торгується на рівні $0,94. Обсяг торгів за 24 години становить близько $187 мільйонів.

Один із експертів у своїй публікації зазначив, що сама вразливість була непомітною, але серйозною. У застарілому контракті ключова змінна «last_index» ніколи не ініціалізувалася під час створення нового акаунту. Це дозволило зловмиснику претендувати на винагороди, наче він здійснював стейкінг із самого початку існування пулу стейкінгу.

Оскільки індекс винагород зростав з часом, зловмисник зарахував собі весь пул винагород в одній транзакції. Він зазначив, що індекс Spool зріс до 1,19 млрд за 20 місяців. 

Зловмисник застейкав 136 тис. sSUI та отримав 162 трильйони балів. Однак бонусний пул використовував обмінний курс 1:1 (чисельник і знаменник обидва = 1), тому 162T балів безпосередньо конвертувалися у винагороди на суму 162 тис. SUI. У пулі було лише 150 тис. SUI — і всі вони були виведені.

Ончейн дані свідчать про те, що вкрадені кошти було швидко направлено через міксер-сервіс, подібний до Tornado Cash на Sui. Це ускладнює їх відновлення.

Scallop відновив роботу після злому

Команда Scallop відреагувала, тимчасово призупинивши роботу. Після цього було повідомлено про розморожування основних контрактів і відновлення всіх операцій. Публікація в X підкреслила, що проблема не стосується основного протоколу та обмежена застарілим контрактом винагород. Зрештою, депозити користувачів не постраждали, і всі кошти залишаються в безпеці. Зняття коштів і депозити зараз функціонують у штатному режимі.

За повідомленнями, зловмисник зв'язався з командою і запропонував повернути 80% коштів в обмін на винагороду за відповідальне розкриття. Інцидент наразі розслідується. Команда перевірить, як вразливість пройшла попередні аудити компаній, зокрема OtterSec та MoveBit.

Cryptopolitan повідомляє, що багато великих інцидентів квітня 2026 року виникли не через логіку основних протоколів. Вони з'явилися зі старих контрактів, адаптерів або інфраструктурних рівнів, які залишаються доступними, але не відстежуються. Сукупні збитки перевищили $750 мільйонів до середини квітня. Лише квітень 2026 року вже становить понад $600 мільйонів вкрадених коштів у 12 великих інцидентах. 

Kelp DAO і Drift Protocol разом становлять приблизно 95% збитків за квітень. Атака на Kelp призвела до $177 мільйонів безнадійного боргу на Aave. Тим часом Рада безпеки Arbitrum успішно заморозила 30 766 ETH (приблизно на $71 мільйон) вкрадених коштів.

Hyperliquid досі є найбільшим токеном у категорії DeFi. Ціна HYPE зросла на 10% за останні 30 днів. На момент публікації він торгується на рівні $41,95. Chainlink посідає 2-е місце. LINK торгувався близько $9,4.

Ваш банк використовує ваші гроші. Вам залишаються лише крихти. Перегляньте наше безкоштовне відео про те, як стати власним банком