Exploit Scallop DeFi Ujawnia Ryzyko Przestarzałych Kontraktów w Obliczu Strat na Poziomie 606 mln USD w Kwietniu 2026 r.

TLDR:

• Strata 140 tys. USD straty Scallop pochodziły z przestarzałego kontraktu nagród, a nie z głównej infrastruktury protokołu pożyczkowego.
• W kwietniu 2026 roku odnotowano 13 exploitów DeFi, co spowodowało, że łączne straty branży przekroczyły 606 mln USD – był to najgorszy miesiąc od czasu incydentu z Bybit.
• Scallop przeszedł pełny audyt Sui Foundation w lutym 2025 roku, jednak przestarzały kontrakt nadal stanowił otwarte ryzyko.
• Eksperci zalecają dywersyfikację środków, unikanie starych kontraktów oraz regularne wypłacanie nagród w celu zmniejszenia ekspozycji na ryzyko.

Scallop, największy protokół pożyczkowy sieci Sui, padł ofiarą exploita 26 kwietnia 2026 roku, co spowodowało straty w wysokości około 140 000 USD.

Atak był wymierzony w przestarzały kontrakt nagród, a nie w sam rdzeń protokołu. Po naruszeniu zespół Scallop zamroził dotknięte kontrakty, zidentyfikował lukę i przywrócił działanie systemu.

Depozyty użytkowników pozostały nienaruszone przez cały czas trwania incydentu. Wydarzenie to dołącza do rosnącej listy exploitów DeFi odnotowanych tylko w kwietniu 2026 roku.

Przestarzały kontrakt stał się punktem wejścia dla atakujących

Exploit Scallop nie naruszył głównej infrastruktury protokołu. Zamiast tego atakujący znalazł lukę w starym, nieużywanym kontrakcie nagród.

To rozróżnienie ma znaczenie, ponieważ pokazuje, jak starszy kod może z czasem stać się zobowiązaniem. Protokoły często wycofują określone komponenty bez ich całkowitego usunięcia z sieci.

Scallop ukończył pełny audyt przeprowadzony przez Sui Foundation w lutym 2025 roku. Mimo tej weryfikacji przestarzały kontrakt pozostał słabym ogniwem.

Analityk kryptowalutowy Crypto Patel zauważył na X, że „audytowany nie oznacza bezpieczny", wskazując na Scallop i Kelp DAO jako przykłady. Kelp DAO stracił 292 mln USD, mimo że przeszedł dwa osobne audyty przed naruszeniem.

Zespół Scallop zareagował szybko, izolując błąd i wstrzymując powiązane kontrakty. Operacje wznowiono wkrótce po incydencie, a zespół potwierdził, że żadne środki użytkowników nie były zagrożone.

Szybka reakcja pomogła ograniczyć szkody wyłącznie do przestarzałego komponentu. Niemniej incydent zwrócił uwagę na to, jak stare kontrakty są coraz częściej wykorzystywane jako wektory ataku.

Ten schemat stał się bardziej powszechny w ekosystemie Sui w ostatnich miesiącach. Deweloperzy i badacze bezpieczeństwa zaczęli wskazywać nieużywane kontrakty jako rosnący problem.

Protokoły, które pozostawiają przestarzałe komponenty aktywne bez odpowiedniej dezaktywacji, narażone są na podwyższone ryzyko. Przypadek Scallop stanowi praktyczny punkt odniesienia dla tej trwającej dyskusji.

Kwiecień 2026 roku odnotowuje najgorszy miesiąc dla strat DeFi od czasu Bybit

Kwiecień 2026 roku okazał się trudnym miesiącem dla szerszego sektora DeFi. Straty branżowe przekroczyły 606 mln USD, co czyni go najgorszym miesiącem od czasu incydentu z Bybit.

Exploit Scallop jest 13. odnotowanym naruszeniem DeFi w tym miesiącu. Ta częstotliwość wskazuje na systemowe wyzwanie stojące przed platformami zdecentralizowanych finansów.

Sieć Sui w szczególności doświadczyła powtarzających się incydentów w ciągu ostatniego roku. Cetus DEX stracił 223 mln USD w maju 2025 roku, a następnie Nemo Protocol stracił 2,4 mln USD we wrześniu 2025 roku.

Volo Protocol poniósł straty w wysokości 3,5 mln USD 22 kwietnia 2026 roku, zaledwie kilka dni przed naruszeniem Scallop. Te incydenty odzwierciedlają powtarzający się wzorzec podatności w protokołach opartych na Sui.

Zarządzanie ryzykiem stało się pilnym tematem wśród uczestników DeFi. Crypto Patel zalecił unikanie przestarzałych kontraktów i regularne wypłacanie nagród zamiast pozostawiania ich bezczynnie.

Rozpraszanie środków między wiele protokołów zamiast koncentrowania ich na jednej platformie również zmniejsza ekspozycję na ryzyko. Monitorowanie oficjalnych ogłoszeń protokołów przed dokonaniem depozytów dodaje kolejną warstwę ochrony.

Szersza społeczność DeFi nadal bada, w jaki sposób można wzmocnić procesy audytowe. Przejście audytu nie gwarantuje, że protokół jest wolny od kodu podatnego na exploity, zwłaszcza w starszych komponentach.

Bieżące przeglądy bezpieczeństwa obejmujące przestarzałe kontrakty stają się zalecaną praktyką. Wydarzenia z kwietnia 2026 roku prawdopodobnie wpłyną na to, jak protokoły podchodzą do zarządzania cyklem życia kontraktów w przyszłości.

Wpis Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak pojawił się po raz pierwszy w serwisie Blockonomi.