Scallop Exploit Drains 150K SUI Via Verouderd Contract Terwijl Verborgen Kwetsbaarheid 17 Maanden Onopgemerkt Blijft

Scallop Bevestigt Gerichte Exploit: 150.000 SUI-tokens Weggezogen Uit sSUI Beloningspool.

Het op Sui gebaseerde DeFi-protocol Scallop heeft bevestigd dat het doelwit was van een exploit waarbij ongeveer 150.000 SUI uit zijn sSUI-beloningspool werd weggesluisd, terwijl een jarenlang verborgen bug in een verouderd smart contract aan het licht kwam.

Volgens de officiële verklaring van het protocol merkten ze dat de aanvaller hun actieve codebase en standaard SDK-interfaces volledig negeerde. In plaats daarvan riepen ze een verouderde V2-pakketversie aan die teruggaat tot november 2023, die nog steeds on-chain stond maar al maanden ongebruikt was.

Dit precisieniveau heeft veel aandacht gekregen binnen het ecosysteem. Deze exploit impliceert ofwel diepgaande reverse engineering, ofwel dat iemand grote bekendheid had met de contractarchitectuur.

Opvallend is dat de kwetsbaarheid bijna 17 maanden lang onopgemerkt bleef, omdat het ecosysteem naar nieuwe contractversies was overgestapt. Scallop gebruikte Twitter om het incident te bevestigen en zei dat gebruikers momenteel veilig zijn, omdat onmiddellijke inperkingsmaatregelen zijn geïmplementeerd.

Misbruik van Defect Beloningsberekeningmechanisme

De exploit toont een kritieke fout in de beloningsberekeningslogica van het verouderde contract. Het maakt gebruik van een zogenaamde "spool-index", een steeds toenemende waarde die de totale beloningen vertegenwoordigt die in de loop van de tijd in die pool zijn opgebouwd.

Tijdens normale werking houdt elk gebruikersaccount een last_index bij wanneer ze staken. Beloningen worden berekend op basis van het verschil tussen de huidige index en de opgeslagen waarde, zodat geen enkele gebruiker beloningen kan verdienen vóórdat hij begint met staken.

In het oude V2-pakket werden nieuw aangemaakte spool-accounts echter nooit geïnitialiseerd; last_index was altijd nul. En deze fout bood een grote maas in de wet.

Poolleegloop Leidt Tot Massale Puntenstijging

De gevolgen van deze bug waren onmiddellijk en ernstig. De spool-index was in ongeveer 20 maanden gestegen tot bijna 1,19 miljard. De aanvaller ontving een overdreven 162 biljoen beloningspunten, evenredig verdeeld met 136.000 gestakete sSUI.

Dit werd verder verergerd doordat de beloningspool een 1:1 conversieratio had, zodat elk beloningspunt rechtstreeks werd omgezet in SUI-tokens. Dit stelde de aanvaller in staat om punten verkregen via kunstmatige inflatie naadloos in te wisselen voor echte activa.

De exploit leidde tot het leegmaken van de beloningspool, die op dat moment ongeveer 150.000 SUI bevatte. Ondanks het feit dat de beloningen van de aanvaller ver boven het poolsaldo lagen, werd alleen de beschikbare liquiditeit onttrokken.

Onveranderlijke Contracten Creëren een Permanent Aanvalsoppervlak

Dit incident illustreert een van de systemische uitdagingen van geïmplementeerde pakketten in het Sui-ecosysteem: geïmplementeerde pakketten zijn onveranderlijk. Zodra een smart contract on-chain gaat, kan het niet worden verwijderd of gewijzigd. Alle versies, oud en nieuw, blijven voor altijd aanroepbaar.

Hoewel Scallop gebruikers via hun SDK naar een nieuw, veiliger pakket verwees, was het oude V2-contract nog steeds toegankelijk. De Spooled- en RewardsPool-objecten zijn gedeeld, waardoor de aanvaller de bijgewerkte logica volledig kon omzeilen omdat er geen versiebeperkingen op hen van toepassing zijn.

Dit type kwetsbaarheid, dat opnieuw is geclassificeerd als een "verouderd pakket"-risico, werpt een belangrijk blind spot op voor veel DeFi-systemen. Legacy-contracten kunnen permanente aanvalsvectoren zijn, omdat er geen expliciete versiecontroles zijn ingebouwd in gedeelde objecten.

Bredere Niet-Kern Kwetsbaarheidspatronen in Opkomst

De Scallop-exploit is een gebeurtenis, niet het eindeloze resultaat van een grotere trend die zich gedurende april heeft voorgedaan. Meerdere recente aanvallen zijn voortgekomen niet uit de kernprotocollogica, maar uit perifere of over het hoofd geziene aspecten. Kwetsbaarheden in de RPC-infrastructuur van KelpDAO, de privacylaag (MWEB) voor Litecoin en toegangscontrolebugsen in adaptersystemen van Aethir zijn slechts enkele voorbeelden.

In alle gevallen bevond de bron zich buiten het hoofdcontract, in andere secundaire of legacy-modules. Het gebruik van dit patroon is een indicatie dat tegenstanders hun tactieken hebben veranderd. Hackers besteden minder tijd aan kerncontracten die veel worden geauditeerd, en veel meer tijd aan het aanvallen van de randen van het ecosysteem die zeer zwakke perimetermonitoring hebben. Dit vereist een paradigmaverschuiving voor ontwikkelaars en auditors. Alleen nieuwe implementaties beveiligen is niet voldoende; alle historische contracten, integratiepunten en infrastructuurcomponenten moeten worden behandeld als actief aanvalsoppervlak.

Volledige Compensatie en Systeemherstel door Scallop

Scallop reageerde snel en doortastend op de exploit. Het aangevallen contract werd onmiddellijk bevroren, wat betekent dat slechts één beloningspool was getroffen door deze aanval.

De groep bevestigde dat de kerncontracten nog steeds veilig zijn en dat geen enkele gebruikersstorting is gecompromitteerd. Andere pools blijven onaangetast en de hoofdfuncties van het protocol zijn actief zodra de niet-getroffen onderdelen zijn ontdooid.

Scallop heeft toegezegd 100 procent van de verliezen als gevolg van de exploit te vergoeden. Deze toezegging toont verantwoordelijkheid bij het oplossen van onverwachte beveiligingslekken en is gericht op het herstellen van het vertrouwen van gebruikers.

Stortingen en opnames zijn hervat, wat aangeeft dat de systeemstabiliteit is hersteld.

Lessen uit de Wereld van DeFi-beveiliging

Het Scallop-incident belichaamt een belangrijke les voor het DeFi-ecosysteem als geheel. Bij uitvoering in een onveranderlijke smart contract-omgeving is beveiliging nooit een eenmalige zaak.

Elke versie van uw geïmplementeerde contract maakt deel uit van het live systeem. Zelfs inactieve code kan maanden of jaren later een single point of failure vormen, als de juiste beveiligingen eenvoudig te omzeilen zijn.

Vooruitkijkend moet het ecosysteem strengere versiebeheerpraktijken adopteren, continue monitoring van legacy-contracten en uitbreiding van auditscopes om alle eerdere implementaties te omvatten. Zoals de exploit aantoont, zijn aanvallers bereid diep in de geschiedenis van een protocol te duiken om zwakke plekken te vinden die ze kunnen misbruiken.

Uiteindelijk zal gedecentraliseerde financiering slechts zo duurzaam zijn als de protocollen die zich kunnen aanpassen aan dit veranderende bedreigingslandschap.

Openbaarmaking: Dit is geen handels- of beleggingsadvies. Doe altijd uw eigen onderzoek voordat u een cryptocurrency koopt of in diensten investeert.

Volg ons op Twitter @themerklehash om op de hoogte te blijven van het laatste nieuws over Crypto, NFT, AI, Cybersecurity en Metaverse!

Het bericht Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months verscheen eerst op The Merkle News.