Scallop Exploit Menguras 150K SUI Melalui Kontrak yang Tidak Digunakan Lagi Saat Kerentanan Tersembunyi Mengintai Selama 17 Bulan
Scallop Mengonfirmasi Eksploitasi yang Ditargetkan: 150.000 Token SUI Disedot dari Pool Hadiah sSUI.
Protokol DeFi berbasis Sui, Scallop, telah mengonfirmasi bahwa mereka menjadi target eksploitasi yang menguras sekitar 150.000 SUI dari pool hadiah sSUI-nya, sekaligus mengungkap bug lama yang bersembunyi di dalam smart contract yang sudah tidak digunakan.
Berdasarkan pernyataan resmi protokol tersebut, mereka memperhatikan bahwa penyerang tidak menyentuh codebase aktif maupun antarmuka SDK standar mereka sama sekali. Sebaliknya, penyerang memanggil versi paket V2 yang sudah usang dan berasal dari November 2023, yang masih berada di-chain namun tidak digunakan selama berbulan-bulan.
Tingkat presisi seperti ini telah mendapat perhatian besar di seluruh ekosistem. Eksploitasi ini mengimplikasikan adanya rekayasa balik yang mendalam atau seseorang yang sangat familiar dengan arsitektur kontrak tersebut.
Yang paling menonjol, kerentanan ini tidak terdeteksi selama hampir 17 bulan karena ekosistem telah beralih ke versi kontrak baru. Scallop menggunakan Twitter untuk mengonfirmasi insiden ini dan menyatakan bahwa pengguna saat ini aman karena langkah-langkah penanggulangan segera telah diterapkan.
Eksploitasi Mekanisme Perhitungan Hadiah yang Cacat
Eksploitasi ini menunjukkan kelemahan kritis dalam logika perhitungan hadiah dari kontrak yang sudah usang tersebut. Ia menggunakan apa yang disebut "spool index," yaitu nilai yang terus meningkat yang mewakili total hadiah yang terakumulasi dalam pool tersebut dari waktu ke waktu.
Dalam operasi normal, setiap akun pengguna menyimpan last_index saat mereka melakukan staking. Hadiah dihitung berdasarkan selisih antara indeks saat ini dan nilai yang tersimpan, sehingga tidak ada pengguna yang dapat memperoleh hadiah sebelum mulai melakukan staking.
Namun, dalam paket V2 lama, akun spool yang baru dibuat tidak pernah diinisialisasi; last_index selalu bernilai nol. Dan kesalahan ini menciptakan celah yang sangat besar.
Pengurasan Pool yang Mengakibatkan Lonjakan Poin yang Masif
Dampak dari bug ini terjadi secara instan dan sangat parah. Spool index telah meningkat hingga hampir 1,19 miliar selama sekitar 20 bulan. Penyerang mendapatkan 162 triliun poin hadiah yang membengkak, yang dihitung berdasarkan 136.000 sSUI yang di-staking.
Memperparah situasi ini, pool hadiah memiliki rasio konversi 1:1 sehingga setiap poin hadiah langsung dikonversi menjadi token SUI. Hal ini memungkinkan penyerang untuk dengan mudah mencairkan poin yang diperoleh melalui inflasi buatan menjadi aset nyata.
Eksploitasi ini menyebabkan pool hadiah terkuras, yang saat itu berisi sekitar 150.000 SUI. Meskipun hadiah yang dihitung penyerang jauh melebihi saldo pool, hanya likuiditas yang tersedia yang berhasil diambil.
Kontrak yang Tidak Dapat Diubah Menciptakan Permukaan Serangan yang Permanen
Insiden ini menggambarkan salah satu tantangan sistemis yang ada pada paket yang telah di-deploy di ekosistem Sui: paket yang telah di-deploy bersifat immutable. Ketika sebuah smart contract masuk ke-chain, kontrak tersebut tidak dapat dihapus atau dimodifikasi. Semua versi, lama maupun baru, tetap dapat dipanggil selamanya.
Meskipun Scallop mengarahkan pengguna ke paket baru yang lebih aman melalui SDK mereka, kontrak V2 lama masih dapat diakses. Objek Spooled dan RewardsPool bersifat shared, sehingga penyerang dapat sepenuhnya melewati logika yang telah diperbarui karena tidak ada pembatasan versi pada objek-objek tersebut.
Jenis kerentanan ini, yang telah diklasifikasikan ulang sebagai risiko "stale package," menyoroti titik buta yang penting bagi banyak sistem DeFi. Kontrak warisan dapat menjadi vektor serangan permanen karena tidak ada pemeriksaan versi eksplisit yang tertanam dalam objek shared.
Pola Kerentanan Non-Inti yang Lebih Luas Sedang Berlangsung
Eksploitasi Scallop adalah sebuah peristiwa, bukan hasil tanpa henti dari tren yang lebih besar yang telah berlangsung sepanjang bulan April. Berbagai serangan terbaru tidak berasal dari logika inti protokol, melainkan dari aspek-aspek periferal atau yang terabaikan. Kerentanan pada infrastruktur RPC KelpDAO, lapisan privasi (MWEB) untuk Litecoin, dan bug kontrol akses pada sistem adapter dari Aethir hanyalah beberapa contohnya.
Dalam semua kasus, sumbernya berada di luar kontrak utama dan berada di modul sekunder atau warisan lainnya. Penggunaan pola seperti ini merupakan indikasi bahwa para penyerang telah mengubah taktik mereka. Peretas menghabiskan lebih sedikit waktu pada kontrak inti yang banyak diaudit, dan lebih banyak waktu menyerang tepi ekosistem yang memiliki pemantauan perimeter yang sangat lemah. Hal ini membutuhkan perubahan paradigma bagi para pengembang dan auditor. Mengamankan deployment baru saja tidak cukup; semua kontrak historis, titik integrasi, dan komponen infrastruktur harus diperlakukan sebagai permukaan ancaman yang aktif.
Kompensasi Penuh dan Pemulihan Sistem oleh Scallop
Scallop menggunakan pendekatan yang cepat dan tegas dalam merespons eksploitasi ini. Kontrak yang diserang langsung dibekukan setelahnya, yang berarti hanya satu pool hadiah yang dikompromikan oleh serangan eksploitasi ini.
Pihak perusahaan mengonfirmasi bahwa kontrak inti masih aman dan tidak ada deposit pengguna yang dikompromikan. Pool lainnya tetap tidak tersentuh dan fungsi utama protokol aktif segera setelah bagian yang tidak terdampak dicairkan dari pembekuan.
Secara khusus, Scallop telah berjanji untuk mengompensasi 100 persen kerugian yang terjadi akibat eksploitasi ini. Janji ini menunjukkan akuntabilitas dalam menangani celah keamanan yang tidak terduga, dan bertujuan untuk mendapatkan kembali kepercayaan pengguna.
Deposit dan penarikan telah dilanjutkan, yang menunjukkan bahwa stabilitas sistem telah dipulihkan.
Pelajaran dari Dunia Keamanan DeFi
Insiden Scallop mewujudkan pelajaran utama bagi ekosistem DeFi secara keseluruhan. Jika beroperasi dalam lingkungan smart contract yang immutable, keamanan bukanlah urusan yang bisa dilakukan sekali lalu dilupakan.
Setiap versi kontrak yang Anda deploy adalah bagian dari sistem yang aktif. Bahkan kode yang tidak aktif pun dapat menjadi satu titik kegagalan berbulan-bulan atau bertahun-tahun ke depan, jika pengamanan yang tepat mudah untuk dilewati.
Ke depannya, ekosistem perlu mengadopsi praktik kontrol versi yang lebih ketat, pemantauan berkelanjutan atas kontrak warisan, dan memperluas ruang lingkup audit untuk mencakup semua deployment sebelumnya. Seperti yang ditunjukkan oleh eksploitasi ini, para penyerang siap untuk menggali jauh ke dalam sejarah protokol guna menemukan kelemahan yang dapat mereka manfaatkan.
Pada akhirnya, keuangan terdesentralisasi akan menjadi hanya seandal protokol-protokol yang mampu beradaptasi dengan lanskap ancaman yang terus berubah ini.
Pengungkapan: Ini bukan saran perdagangan atau investasi. Selalu lakukan riset Anda sendiri sebelum membeli cryptocurrency apa pun atau berinvestasi dalam layanan apa pun.
Ikuti kami di Twitter @themerklehash untuk tetap mendapatkan berita terbaru seputar Crypto, NFT, AI, Keamanan Siber, dan Metaverse!
Postingan Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months pertama kali muncul di The Merkle News.
