Scallop Exploit Opróżnia 150K SUI Przez Przestarzały Kontrakt, Podczas Gdy Ukryta Luka Czai Się Przez 17 Miesięcy

Scallop Potwierdza Celowy Exploit: 150 000 Tokenów SUI Wyprowadzonych z Puli Nagród sSUI.

Oparty na Sui protokół DeFi Scallop potwierdził, że padł ofiarą exploita, który opróżnił około 150 000 SUI z jego puli nagród sSUI, ujawniając jednocześnie błąd ukryty w przestarzałym smart kontrakcie od wielu miesięcy.

Zgodnie z oficjalnym oświadczeniem protokołu, zauważyli oni, że atakujący całkowicie ominął aktywną bazę kodu i standardowe interfejsy SDK. Zamiast tego wywołał przestarzałą wersję pakietu V2 datowaną na listopad 2023 roku, która nadal znajdowała się w łańcuchu, lecz przez miesiące pozostawała nieużywana.

Ten poziom precyzji wzbudził znaczną uwagę w całym ekosystemie. Exploit ten sugeruje albo głęboką inżynierię wsteczną, albo że ktoś doskonale znał architekturę kontraktu.

Co szczególnie istotne, podatność pozostawała niewykryta przez prawie 17 miesięcy, ponieważ ekosystem przeszedł na nowe wersje kontraktów. Scallop opublikował na Twitterze potwierdzenie incydentu i poinformował, że użytkownicy są bezpieczni, ponieważ natychmiast wdrożono środki ograniczające skutki ataku.

Wykorzystanie Wadliwego Mechanizmu Obliczania Nagród

Exploit ujawnił krytyczną wadę w logice obliczania nagród przestarzałego kontraktu. Wykorzystuje on tak zwany „indeks spool", czyli stale rosnącą wartość reprezentującą łączne nagrody zgromadzone w puli w czasie.

Podczas normalnego działania każde konto użytkownika przechowuje last_index w momencie stakowania. Nagrody obliczane są na podstawie różnicy między bieżącym indeksem a zapisaną wartością, tak aby żaden użytkownik nie mógł zarabiać nagród przed rozpoczęciem stakowania.

Jednak w starym pakiecie V2 nowo utworzone konta spool nigdy nie były inicjalizowane; last_index zawsze wynosił zero. Ten błąd stworzył poważną lukę.

Opróżnienie Puli Prowadzące do Masowego Naliczenia Punktów

Skutki tego błędu były natychmiastowe i poważne. Indeks spool wzrósł do prawie 1,19 miliarda przez około 20 miesięcy. Atakujący otrzymał zawyżone 162 biliony punktów nagród, przy 136 000 stakowanych sSUI.

Dodatkowo, pula nagród miała współczynnik konwersji 1:1, dzięki czemu każdy punkt nagrody przekształcał się bezpośrednio w tokeny SUI. Umożliwiło to atakującemu płynną wypłatę punktów uzyskanych poprzez sztuczną inflację na prawdziwe aktywa.

Exploit doprowadził do opróżnienia puli nagród, która w tamtym momencie zawierała około 150 000 SUI. Mimo że racjonalnie obliczone nagrody atakującego znacznie przekraczały saldo puli, wydobyta została jedynie dostępna płynność.

Niezmienne Kontrakty Tworzą Trwałą Powierzchnię Ataku

Incydent ten ilustruje jedno z systemowych wyzwań związanych z wdrożonymi pakietami w ekosystemie Sui: wdrożone pakiety są niezmienne. Gdy smart kontrakt trafia do łańcucha, nie może zostać usunięty ani zmodyfikowany. Wszystkie wersje, zarówno przeszłe, jak i obecne, pozostają wiecznie wywoływalne.

Podczas gdy Scallop przekierował użytkowników do nowego, bezpieczniejszego pakietu poprzez swoje SDK, stary kontrakt V2 był nadal dostępny. Obiekty Spooled i RewardsPool są współdzielone, więc atakujący był w stanie całkowicie ominąć zaktualizowaną logikę, ponieważ nie ma dla nich żadnych ograniczeń wersji.

Ten typ podatności, który został sklasyfikowany jako ryzyko „przestarzałego pakietu", rzuca światło na ważny ślepy punkt wielu systemów DeFi. Starsze kontrakty mogą być stałymi wektorami ataku, ponieważ we współdzielonych obiektach nie ma wbudowanych jawnych kontroli wersji.

Szersze Wzorce Podatności Poza Rdzeniem Systemu

Exploit Scallop jest zdarzeniem, a nie nieskończonym wynikiem większego trendu trwającego przez cały kwiecień. Wiele niedawnych ataków wynikało nie z podstawowej logiki protokołu, ale z peryferyjnych lub pomijanych aspektów. Podatności w infrastrukturze RPC KelpDAO, warstwie prywatności (MWEB) dla Litecoin oraz błędy kontroli dostępu w systemach adapterów Aethir to tylko niektóre przykłady.

We wszystkich przypadkach źródło było zewnętrzne wobec głównego kontraktu, w innych drugorzędnych lub starszych modułach. Stosowanie takiego wzorca wskazuje, że przeciwnicy zmienili swoje taktyki. Hakerzy spędzają mniej czasu na głównych kontraktach, które są często audytowane, a znacznie więcej czasu atakując krawędzie ekosystemu, które mają bardzo słaby monitoring swojego obwodu. Wymaga to zmiany paradygmatu dla deweloperów i audytorów. Samo zabezpieczenie nowych wdrożeń nie wystarczy – wszystkie historyczne kontrakty, punkty integracji i komponenty infrastruktury powinny być traktowane jako aktywna powierzchnia zagrożeń.

Pełna Rekompensata i Odbudowa Systemu przez Scallop

Scallop zastosował szybkie i zdecydowane podejście w odpowiedzi na exploit. Zaatakowany kontrakt został natychmiast zamrożony, co oznacza, że tylko jedna pula nagród została naruszona przez ten atak.

Firma potwierdziła, że główne kontrakty są nadal bezpieczne i żaden depozyt użytkownika nie został naruszony. Pozostałe pule pozostają nienaruszone, a główne funkcje protokołu są aktywne, gdy tylko nienaruszonych elementów odmrożono.

Co godne uwagi, Scallop zobowiązał się do pokrycia 100 procent strat wynikłych z exploita. To zobowiązanie pokazuje odpowiedzialność za naprawę prawdopodobnie nieoczekiwanych luk bezpieczeństwa i ma na celu odbudowanie zaufania użytkowników.

Wznowiono depozyty i wypłaty, co sugeruje przywrócenie stabilności systemu.

Lekcje ze Świata Bezpieczeństwa DeFi

Incydent Scallop uosabia kluczową lekcję dla całego ekosystemu DeFi. W środowisku niezmiennych smart kontraktów bezpieczeństwo nigdy nie jest kwestią jednorazową.

Każda wersja wdrożonego kontraktu jest częścią działającego systemu. Nawet nieaktywny kod może stanowić pojedynczy punkt awarii miesiące lub lata później, jeśli właściwe zabezpieczenia są łatwe do ominięcia.

W przyszłości ekosystem musi przyjąć surowsze praktyki kontroli wersji, ciągłe monitorowanie starszych kontraktów oraz rozszerzenie zakresu audytów na wszystkie wcześniejsze wdrożenia. Jak pokazuje exploit, atakujący są gotowi zagłębić się w historię protokołu, aby znaleźć słabości, które mogą wykorzystać.

Ostatecznie zdecentralizowane finanse staną się jedynie tak trwałe, jak protokoły, które potrafią dostosować się do zmieniającego się krajobrazu zagrożeń.

Zastrzeżenie: To nie jest porada handlowa ani inwestycyjna. Zawsze przeprowadzaj własne badania przed zakupem jakiejkolwiek kryptowaluty lub inwestowaniem w jakiekolwiek usługi.

Obserwuj nas na Twitterze @themerklehash , aby być na bieżąco z najnowszymi wiadomościami dotyczącymi Crypto, NFT, AI, Cyberbezpieczeństwa i Metaverse!

Wpis Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months pojawił się po raz pierwszy w The Merkle News.