Scallop Exploit Entzieht 150K SUI Über Veralteten Contract, Während Versteckte Divergenz Als Sicherheitslücke 17 Monate Lauert

Scallop bestätigt gezielten Exploit: 150.000 SUI-Token aus dem sSUI-Belohnungspool abgezogen.

Das Sui-basierte DeFi-Protokoll Scallop hat bestätigt, dass es Ziel eines Exploits war, bei dem rund 150.000 SUI aus seinem sSUI-Belohnungspool abgezogen wurden, während gleichzeitig ein jahrzehntealter Fehler in einem obsoleten Smart-Contract ( Intelligenter Vertrag) aufgedeckt wurde.

Laut der offiziellen Stellungnahme des Protokolls stellten sie fest, dass der Angreifer ihre aktive Codebasis und die standardmäßigen SDK-Schnittstellen vollständig umging. Stattdessen rief er eine obsolete V2-Paketversion auf, die auf November 2023 zurückdatiert war und noch On-Chain vorhanden, aber seit Monaten ungenutzt war.

Diese Präzision hat im gesamten Ökosystem erhebliche Aufmerksamkeit erregt. Dieser Exploit deutet entweder auf tiefgreifendes Reverse Engineering hin oder darauf, dass jemand mit der Vertragsarchitektur sehr vertraut war.

Besonders bemerkenswert ist, dass die Schwachstelle fast 17 Monate lang unentdeckt blieb, weil das Ökosystem auf neue Vertragsversionen umgestellt hatte. Scallop wandte sich über Twitter an die Öffentlichkeit, um den Vorfall zu bestätigen, und erklärte, dass die Nutzer derzeit sicher seien, da sofortige Eindämmungsmaßnahmen ergriffen wurden.

Ausnutzung eines fehlerhaften Belohnungsberechnungsmechanismus

Der Exploit zeigt einen kritischen Fehler in der Belohnungsberechnungslogik des obsoleten Vertrags. Er verwendet einen sogenannten „Spool-Index", einen stets wachsenden Wert, der die im Laufe der Zeit im Pool angesammelten Gesamtbelohnungen darstellt.

Im normalen Betrieb speichert jedes Benutzerkonto beim Staking einen last_index. Die Belohnungen werden anhand der Differenz zwischen dem aktuellen Index und dem gespeicherten Wert berechnet, sodass kein Benutzer Belohnungen verdienen kann, bevor er mit dem Staking beginnt.

Im alten V2-Paket jedoch wurden neu erstellte Spool-Konten niemals initialisiert; last_index war immer null. Und dieser Fehler bot eine erhebliche Sicherheitslücke.

Pool-Leerung führt zu massiver Punkteexplosion

Die Folgen dieses Fehlers waren sofort und gravierend. Der Spool-Index war über etwa 20 Monate auf fast 1,19 Milliarden gestiegen. Der Angreifer erhielt aufgeblähte 162 Billionen Belohnungspunkte, gleichmäßig auf 136.000 gestakte sSUI verteilt.

Erschwerend kam hinzu, dass der Belohnungspool ein 1:1-Umrechnungsverhältnis hatte, sodass jeder Belohnungspunkt direkt in SUI-Token umgewandelt wurde. Dies ermöglichte es dem Angreifer, durch künstliche Inflation gewonnene Punkte nahtlos in reale Vermögenswerte umzuwandeln.

Der Exploit führte zur Entleerung des Belohnungspools, der zu diesem Zeitpunkt etwa 150.000 SUI enthielt. Obwohl die rationalisierten Belohnungen des Angreifers weit über dem Pool-Guthaben lagen, wurde nur die vorhandene Liquidität abgezogen.

Unveränderbare Verträge schaffen eine permanente Angriffsfläche

Dieser Vorfall verdeutlicht eine der systemischen Herausforderungen bei bereitgestellten Paketen im Aptos-Ökosystem: Bereitgestellte Pakete sind unveränderbar. Und wenn ein Smart-Contract ( Intelligenter Vertrag) On-Chain geht, kann er weder gelöscht noch geändert werden. Alle Versionen, vergangene und aktuelle, bleiben für immer aufrufbar.

Während Scallop die Nutzer über ihr SDK zu einem neuen, sichereren Paket weiterleitete, war der alte V2-Vertrag weiterhin einsehbar. Die Spooled- und RewardsPool-Objekte sind gemeinsam genutzt, sodass der Angreifer die aktualisierte Logik vollständig umgehen konnte, da es keine Versionsbeschränkungen für sie gibt.

Diese Art von Schwachstelle, die als „veraltetes Paket"-Risiko neu klassifiziert wurde, beleuchtet einen wichtigen blinden Fleck für viele DeFi-Systeme. Legacy-Verträge können dauerhafte Angriffsvektoren sein, da keine expliziten Versionsprüfungen in gemeinsam genutzte Objekte eingebettet sind.

Umfassendere Nicht-Kern-Schwachstellenmuster im Gange

Der Scallop-Exploit ist ein Ereignis, kein endloses Ergebnis eines größeren Trends, der sich im April fortgesetzt hat. Mehrere jüngste Angriffe stammen nicht aus der Kernprotokolllogik, sondern aus peripheren oder übersehenen Aspekten. Schwachstellen in der RPC-Infrastruktur von KelpDAO, der Datenschutzschicht (MWEB) für Litecoin und Zugriffssteuerungsfehler in Adaptersystemen von Aethir sind nur einige Beispiele.

In allen Fällen lag die Quelle außerhalb des Hauptvertrags und in anderen sekundären oder Legacy-Modulen. Die Verwendung eines solchen Musters ist ein Hinweis darauf, dass Angreifer ihre Taktiken geändert haben. Hacker verbringen weniger Zeit mit Kernverträgen, die häufig geprüft werden, und viel mehr Zeit damit, die Randbereiche des Ökosystems anzugreifen, die eine sehr schwache Perimeter-Überwachung haben. Dies erfordert einen Paradigmenwechsel für Entwickler und Prüfer. Nur neue Deployments zu sichern reicht nicht aus – alle historischen Verträge, Integrationspunkte und Infrastrukturkomponenten sollten als aktive Bedrohungsfläche behandelt werden.

Vollständige Entschädigung und Systemwiederherstellung durch Scallop

Scallop reagierte auf den Exploit mit einem schnellen und entschlossenen Ansatz. Der angegriffene Vertrag wurde unmittelbar danach eingefroren, was bedeutet, dass nur ein Belohnungspool durch diesen Angriff kompromittiert worden war.

Das Unternehmen bestätigte, dass die Kernverträge weiterhin sicher sind und keine Nutzereinlage kompromittiert wurde. Andere Pools bleiben unberührt und die Hauptfunktionen des Protokolls sind aktiv, sobald nicht betroffene Teile aufgetaut sind.

Bemerkenswert ist, dass Scallop zugesagt hat, 100 Prozent der durch den Exploit entstandenen Verluste zu erstatten. Diese Zusage zeigt Verantwortungsbewusstsein bei der Behebung wahrscheinlich unerwarteter Sicherheitslücken und zielt darauf ab, das Vertrauen der Nutzer zurückzugewinnen.

Ein- und Auszahlungen wurden wieder aufgenommen, was darauf hindeutet, dass die Systemstabilität wiederhergestellt wurde.

Lektionen aus der Welt der DeFi-Sicherheit

Der Scallop-Vorfall verkörpert eine wichtige Lektion für das DeFi-Ökosystem als Ganzes. Wenn man in einer unveränderbaren Smart-Contract ( Intelligenter Vertrag)-Umgebung arbeitet, ist Sicherheit niemals eine einmalige Angelegenheit.

Jede Version Ihres bereitgestellten Vertrags ist Teil des Live-Systems. Selbst inaktiver Code kann Monate oder Jahre später zu einem einzelnen Ausfallpunkt werden, wenn ordnungsgemäße Schutzmaßnahmen leicht umgangen werden können.

In Zukunft muss das Ökosystem strengere Versionskontrollpraktiken einführen, eine kontinuierliche Überwachung von Legacy-Verträgen betreiben und den Prüfungsumfang auf alle früheren Deployments ausweiten. Wie der Exploit zeigt, sind Angreifer bereit, tief in die Geschichte eines Protokolls einzutauchen, um Schwachstellen zu finden, die sie ausnutzen können.

Letztendlich wird dezentralisierte Finanzierung nur so dauerhaft sein wie die Protokolle, die sich an diese sich verändernde Bedrohungslandschaft anpassen können.

Hinweis: Dies ist keine Handels- oder Anlageberatung. Führen Sie immer Ihre eigene Recherche durch, bevor Sie eine Kryptowährung kaufen oder in Dienstleistungen investieren.

Folgen Sie uns auf Twitter @themerklehash , um über die neuesten Nachrichten zu Crypto, NFT, KI, Cybersicherheit und Metaverse auf dem Laufenden zu bleiben!

Der Beitrag „Scallop Exploit leert 150.000 SUI über obsoleten Vertrag, während eine versteckte Schwachstelle 17 Monate lang lauert" erschien zuerst auf The Merkle News.