Το Scallop Protocol έχασε $142K σε επίθεση flash loan συνδυασμένη με χειραγώγηση oracle

Το Scallop Protocol δέχθηκε επίθεση flash loan την Κυριακή. Ο επιτιθέμενος φέρεται να αποσύρησε περίπου $142.000 (150.000 SUI) σε αυτό που φαίνεται να είναι μια εξαιρετικά στοχευμένη επίθεση χειραγώγησης oracle. Αυτή δεν άγγιξε τα βασικά συμβόλαια του πρωτοκόλλου, αλλά αποκάλυψε ένα βαθύτερο σχεδιαστικό ελάττωμα.

Ένας επιτιθέμενος φέρεται να εκμεταλλεύτηκε ένα παρωχημένο πλευρικό συμβόλαιο συνδεδεμένο με την ανταμοιβή sSUI του Scallop. Η ομάδα τους τονίζει ότι το βασικό πρωτόκολλο παραμένει ανέπαφο και ότι όλες οι καταθέσεις χρηστών είναι ασφαλείς. Ωστόσο, η ζημία περιορίζεται πλήρως σε αυτό το απομονωμένο τμήμα.

Παλιός κώδικας ή ελάττωμα Oracle;

Αναλυτές υποστηρίζουν ότι το βασικό ζήτημα ήταν η χειραγώγηση των προσαρμοσμένων ροών τιμών oracle του Scallop. Αυτό επέτρεψε στον επιτιθέμενο να μειώσει τεχνητά τις τιμές SUI/USDC και να δανειστεί περιουσιακά στοιχεία σε αυτές τις παραποιημένες τιμές. Στη συνέχεια, αποπλήρωσε το flash loan εντός της ίδιας συναλλαγής. Στο τέλος, ο ύποπτος έφυγε με τη διαφορά.

Αυτό ακολουθεί ένα γνωστό μοτίβο επίθεσης DeFi· ωστόσο, η εκτέλεση σε αυτή την περίπτωση ήταν ασυνήθιστα ακριβής. Ο επιτιθέμενος δεν στόχευσε ενεργό κώδικα ή τυπικές διαδρομές SDK. Αλληλεπίδρασε με ένα παλαιότερο συμβόλαιο V2 από τον Νοέμβριο του 2023. Αυτή ήταν μια έκδοση που είχε εγκαταλειφθεί αλλά παρέμενε κλήσιμη στο blockchain. Το Sui διατηρεί όλες τις αναπτυγμένες εκδόσεις συμβολαίων αμετάβλητες και προσβάσιμες. Γι' αυτό αυτό το ξεπερασμένο πακέτο έγινε μια κρυφή επιφάνεια επίθεσης.

Η τιμή του Sui δεν επηρεάστηκε μετά την εκμετάλλευση. Αυξήθηκε κατά σχεδόν 2% τις τελευταίες 24 ώρες. Το Sui διαπραγματεύεται στα $0,94 τη στιγμή της σύνταξης. Ο όγκος συναλλαγών 24 ωρών κυμαίνεται γύρω στα $187 εκατομμύρια.

Ένας ειδικός σε ανάρτηση ανέφερε ότι το ελάττωμα ήταν διακριτικό αλλά σοβαρό. Στο παρωχημένο συμβόλαιο, μια βασική μεταβλητή "last_index" δεν αρχικοποιήθηκε ποτέ κατά τη δημιουργία νέου λογαριασμού. Αυτό επέτρεψε στον επιτιθέμενο να διεκδικήσει ανταμοιβές σαν να έκανε staking από την αρχή της δεξαμενής.

Καθώς ο δείκτης ανταμοιβών αυξανόταν με την πάροδο του χρόνου, ο επιτιθέμενος κατάφερε να πιστώσει στον εαυτό του ολόκληρη τη δεξαμενή ανταμοιβών σε μία μόνο συναλλαγή. Ανέφερε ότι ο δείκτης Spool αυξήθηκε στα 1,19 δισεκατομμύρια σε 20 μήνες. 

Ο επιτιθέμενος έκανε stake 136K sSUI και πιστώθηκε με 162 τρισεκατομμύρια πόντους. Ωστόσο, η δεξαμενή ανταμοιβών λειτουργούσε με συναλλαγματική ισοτιμία 1:1 (αριθμητής και παρονομαστής και τα δύο = 1), οπότε τα 162T πόντοι μετατράπηκαν απευθείας σε ανταμοιβές αξίας 162K SUI. Η δεξαμενή είχε μόνο 150K SUI και όλα αποσύρθηκαν.

Τα δεδομένα on-chain δείχνουν ότι τα κλεμμένα κεφάλαια διοχετεύθηκαν γρήγορα μέσω μιας υπηρεσίας ανάμειξης, παρόμοιας με το Tornado Cash στο Sui. Αυτό καθιστά την ανάκτηση ακόμα πιο δύσκολη.

Το Scallop επιστρέφει online μετά την επίθεση

Η ομάδα του Scallop ανταποκρίθηκε με προσωρινή αναστολή λειτουργιών. Στη συνέχεια ανέφερε ότι έχει ξεπαγώσει τα βασικά συμβόλαια και όλες οι λειτουργίες έχουν επαναληφθεί. Μια ανάρτηση στο X τόνισε ότι το ζήτημα δεν σχετίζεται με το βασικό πρωτόκολλο και ήταν απομονωμένο σε ένα παρωχημένο συμβόλαιο ανταμοιβών. Στο τέλος, οι καταθέσεις χρηστών δεν επηρεάστηκαν και όλα τα κεφάλαια παραμένουν ασφαλή. Οι αναλήψεις και καταθέσεις λειτουργούν πλέον κανονικά.

Ο επιτιθέμενος φέρεται να επικοινώνησε με την ομάδα και πρόσφερε να επιστρέψει το 80% των κεφαλαίων σε αντάλλαγμα για μια ανταμοιβή white-hat. Το περιστατικό διερευνάται τώρα. Η ομάδα θα εξετάσει πώς το ελάττωμα πέρασε προηγούμενους ελέγχους από εταιρείες όπως η OtterSec και η MoveBit.

Το Cryptopolitan ανέφερε ότι πολλά από τα σημαντικά περιστατικά του Απριλίου 2026 δεν προήλθαν από τη βασική λογική πρωτοκόλλου. Προέκυψαν από παλιά συμβόλαια, προσαρμογείς ή επίπεδα υποδομής που παραμένουν προσβάσιμα αλλά παραβλεπόμενα. Οι σωρευτικές απώλειες ξεπέρασαν τα $750 εκατομμύρια στα μέσα Απριλίου. Μόνο ο Απρίλιος 2026 έχει αντιστοιχίσει πάνω από $600 εκατομμύρια σε κλεμμένα κεφάλαια σε 12 μεγάλα περιστατικά. 

Το Kelp DAO και το Drift Protocol μαζί αντιστοιχούν στο περίπου 95% των απωλειών του Απριλίου. Η επίθεση στο Kelp οδήγησε σε $177 εκατομμύρια κακό χρέος στο Aave. Εν τω μεταξύ, το Συμβούλιο Ασφαλείας του Arbitrum κατάφερε επιτυχώς να παγώσει 30.766 ETH (αξίας περίπου $71 εκατομμυρίων) από τα κλεμμένα κεφάλαια.

Το Hyperliquid εξακολουθεί να είναι το μεγαλύτερο token στην κατηγορία DeFi. Η τιμή του HYPE αυξήθηκε κατά 10% τις τελευταίες 30 ημέρες. Διαπραγματεύεται στα $41,95 τη στιγμή της σύνταξης. Το Chainlink κατέχει τη 2η θέση. Το LINK διαπραγματευόταν γύρω στα $9,4.

Η τράπεζά σου χρησιμοποιεί τα χρήματά σου. Εσύ παίρνεις τα ψίχουλα. Δες το δωρεάν βίντεό μας για το πώς να γίνεις η δική σου τράπεζα