Scallop Exploit Drena 150K SUI a Través de Contrato Obsoleto Mientras una Vulnerabilidad Oculta Acecha Durante 17 Meses

Scallop Confirma un Exploit Dirigido: 150,000 tokens SUI Sustraídos del Pool de Recompensas de sSUI.

El protocolo DeFi basado en Sui, Scallop, ha confirmado que fue objetivo de un exploit que drenó aproximadamente 150,000 SUI de su pool de recompensas de sSUI, revelando al mismo tiempo un bug de años de antigüedad oculto dentro de un Smart Contract obsoleto.

Según el comunicado oficial del protocolo, detectaron que el atacante ignoró por completo su codebase activa y las interfaces SDK estándar. En cambio, invocó una versión obsoleta del paquete V2 que databa de noviembre de 2023, la cual seguía estando en cadena pero llevaba meses sin utilizarse.

Este nivel de precisión ha generado una atención significativa en todo el ecosistema. Este exploit implica ya sea una ingeniería inversa profunda o que alguien tenía un gran conocimiento de la arquitectura del contrato.

Lo más destacable es que la vulnerabilidad permaneció sin detectarse durante casi 17 meses porque el ecosistema migró a nuevas versiones del contrato. Scallop acudió a Twitter para confirmar el incidente y señaló que los usuarios están seguros por el momento, ya que se implementaron medidas de contención inmediatas.

Explotación de un Mecanismo Defectuoso de Cálculo de Recompensas

El exploit muestra un fallo crítico en la lógica de cálculo de recompensas del contrato obsoleto. Utiliza lo que se denomina un "spool index", que es un valor en constante aumento que representa el total de recompensas acumuladas en ese pool a lo largo del tiempo.

Durante el funcionamiento normal, cada cuenta de usuario mantiene un last_index en el momento en que hace staking. Las recompensas se calculan en función de la diferencia entre el índice actual y el valor almacenado, de modo que ningún usuario pueda obtener recompensas antes de comenzar a hacer staking.

Sin embargo, en el antiguo paquete V2, las cuentas spool recién creadas nunca eran inicializadas; last_index era siempre cero. Y este error proporcionó una laguna importante.

Vaciado del Pool que Provocó un Masivo Rebote de Puntos

Los resultados de este bug fueron inmediatos y graves. El spool index había ascendido a casi 1,190 millones en aproximadamente 20 meses. El atacante obtuvo una desorbitada cantidad de 162 billones de puntos de recompensa, calculados con 136,000 sSUI en staking.

Para agravar esto, el pool de recompensas tenía una tasa de conversión 1:1, de modo que cada punto de recompensa se convertía directamente en tokens SUI. Esto permitió al atacante canjear sin problemas los puntos obtenidos mediante inflación artificial por activos reales.

El exploit provocó el vaciado del pool de recompensas, que en ese momento contenía aproximadamente 150,000 SUI. A pesar de que las recompensas justificadas por el atacante superaban con creces el saldo del pool, solo se extrajo la liquidez disponible.

Los Contratos Inmutables Crean una Superficie de Ataque Permanente

Este incidente ilustra uno de los desafíos sistémicos que existen con los paquetes desplegados en el ecosistema Sui: los paquetes desplegados son inmutables. Y cuando un Smart Contract se publica en cadena, no puede ser eliminado ni modificado. Todas las versiones, pasadas y presentes, permanecen invocables para siempre.

Aunque Scallop redirigió a los usuarios a un paquete nuevo y más seguro a través de su SDK, el antiguo contrato V2 seguía siendo accesible. Los objetos Spooled y RewardsPool son compartidos, por lo que el atacante pudo eludir completamente la lógica actualizada al no existir restricciones de versión sobre ellos.

Este tipo de vulnerabilidad, que ha sido reclasificada como riesgo de "paquete obsoleto", pone de manifiesto un importante punto ciego para muchos sistemas DeFi. Los contratos heredados pueden ser vectores de ataque permanentes porque no existen comprobaciones explícitas de versión integradas en los objetos compartidos.

Patrones de Vulnerabilidad No Fundamentales Más Amplios en Marcha

El exploit de Scallop es un evento, no el resultado interminable de una tendencia más amplia que ha venido desarrollándose a lo largo de abril. Múltiples ataques recientes no han surgido de la lógica central del protocolo, sino de aspectos periféricos o pasados por alto. Las vulnerabilidades en la infraestructura RPC de KelpDAO, la capa de privacidad (MWEB) de Litecoin y los bugs de control de acceso en los sistemas adaptadores de Aethir son solo algunos ejemplos.

En todos los casos, el origen fue externo al contrato principal y se encontraba en módulos secundarios o heredados. El uso de este patrón indica que los adversarios han cambiado sus tácticas. Los hackers dedican menos tiempo a los contratos principales, que son auditados frecuentemente, y mucho más tiempo a atacar los flancos del ecosistema que cuentan con una supervisión perimetral muy débil. Esto requiere un cambio de paradigma para desarrolladores y auditores. Asegurar únicamente los nuevos despliegues no es suficiente; todos los contratos históricos, puntos de integración y componentes de infraestructura deben tratarse como superficie de amenaza activa.

Compensación Total y Recuperación del Sistema por Parte de Scallop

Scallop adoptó un enfoque rápido y decisivo en su respuesta al exploit. El contrato atacado fue congelado de inmediato tras el incidente, lo que significa que solo un pool de recompensas se vio comprometido por este ataque.

El equipo confirmó que los contratos principales siguen siendo seguros y que ningún depósito de usuario ha sido comprometido. Los demás pools permanecen intactos y las funciones principales del protocolo están activas en cuanto las partes no afectadas fueron descongeladas.

Cabe destacar que Scallop se ha comprometido a compensar el 100% de las pérdidas ocasionadas como resultado del exploit. Este compromiso demuestra responsabilidad ante la corrección de posibles fallos de seguridad inesperados y tiene como objetivo recuperar la confianza de los usuarios.

Los depósitos y retiros se han reanudado, lo que sugiere que la estabilidad del sistema ha sido restaurada.

Lecciones del Mundo de la Seguridad DeFi

El incidente de Scallop encarna una lección clave para el ecosistema DeFi en su conjunto. Si se opera en un entorno de Smart Contract inmutable, la seguridad nunca es algo que se configura una vez y se olvida.

Cualquier versión de tu contrato desplegado forma parte del sistema en producción. Incluso el código inactivo puede constituir un único punto de fallo meses o años más adelante, si las salvaguardas adecuadas son fáciles de eludir.

De cara al futuro, el ecosistema necesita adoptar prácticas de control de versiones más rigurosas, monitoreo continuo sobre los contratos heredados y ampliar el alcance de las auditorías para cubrir todos los despliegues anteriores. Como demuestra el exploit, los atacantes están dispuestos a adentrarse en la historia de un protocolo para encontrar debilidades que puedan explotar.

Al final, las finanzas descentralizadas serán tan duraderas como los protocolos que puedan adaptarse a este cambiante panorama de amenazas.

Aviso legal: Esto no es asesoramiento de trading ni de inversión. Investiga siempre antes de comprar cualquier criptomoneda o invertir en cualquier servicio.

¡Síguenos en Twitter @themerklehash para mantenerte actualizado con las últimas noticias sobre Crypto, NFT, IA, Ciberseguridad y Metaverso!

El post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months apareció primero en The Merkle News.