Эксплойт Scallop DeFi раскрывает риски устаревших контрактов на фоне потерь $606 млн в апреле 2026 года

TLDR:

• Убыток Scallop в размере 140 000$ был получен из устаревшего контракта вознаграждений, а не из основной инфраструктуры протокола кредитования.
• В апреле 2026 года зафиксировано 13 эксплойтов DeFi, что привело к превышению общих потерь отрасли в размере 606 млн$, — худший месяц со времён Bybit.
• Scallop прошёл полный аудит Sui Foundation в феврале 2025 года, однако устаревший контракт оставался открытым риском.
• Эксперты рекомендуют распределять средства, избегать устаревших контрактов и регулярно выводить вознаграждения, чтобы снизить подверженность рискам.

Scallop, крупнейший протокол кредитования на Sui, подвергся эксплойту 26 апреля 2026 года, в результате чего потери составили около 140 000$.

Атака была направлена на устаревший контракт вознаграждений, а не на сам основной протокол. После взлома команда Scallop заморозила затронутые контракты, выявила уязвимость и восстановила работу.

Депозиты пользователей на протяжении всего инцидента не пострадали. Это событие пополнило растущий список эксплойтов DeFi, зафиксированных только в апреле 2026 года.

Устаревший контракт стал точкой входа для злоумышленников

Эксплойт Scallop не затронул основную инфраструктуру протокола. Вместо этого злоумышленник нашёл брешь в старом, неиспользуемом контракте вознаграждений.

Это различие важно, поскольку показывает, как устаревший код со временем может стать уязвимым местом. Протоколы нередко выводят из эксплуатации определённые компоненты, не удаляя их полностью из сети.

Scallop прошёл полный аудит, проведённый Sui Foundation в феврале 2025 года. Несмотря на эту проверку, устаревший контракт остался слабым звеном.

Криптоаналитик Crypto Patel отметил в X, что «аудит не означает безопасность», приведя в качестве примеров Scallop и Kelp DAO. Kelp DAO потерял 292 млн$ несмотря на прохождение двух отдельных аудитов до взлома.

Команда Scallop быстро отреагировала: изолировала ошибку и приостановила связанные контракты. Работа возобновилась вскоре после этого, и команда подтвердила, что средства пользователей находились вне опасности.

Оперативная реакция позволила ограничить ущерб только устаревшим компонентом. Тем не менее инцидент привлёк внимание к тому, как старые контракты всё чаще используются в качестве векторов атак.

Эта закономерность стала более распространённой в экосистеме Sui в последние месяцы. Разработчики и исследователи безопасности начали обозначать неиспользуемые контракты как растущую угрозу.

Протоколы, оставляющие устаревшие компоненты активными без надлежащей деактивации, подвергаются повышенному риску. Случай Scallop служит практическим ориентиром для этой продолжающейся дискуссии.

Апрель 2026 года стал худшим месяцем для убытков DeFi со времён Bybit

Апрель 2026 года оказался трудным месяцем для широкого сектора DeFi. Потери отрасли превысили 606 млн$, что делает его худшим месяцем со времён инцидента с Bybit.

Эксплойт Scallop стал 13-м зафиксированным взломом DeFi в этом месяце. Такая частота указывает на системную проблему, с которой сталкиваются платформы децентрализованных финансов.

Сеть Sui, в частности, за последний год пережила ряд повторяющихся инцидентов. Cetus DEX потерял 223 млн$ в мае 2025 года, затем Nemo Protocol потерял 2,4 млн$ в сентябре 2025 года.

Volo Protocol подвергся атаке на 3,5 млн$ 22 апреля 2026 года, всего за несколько дней до взлома Scallop. Эти инциденты отражают повторяющуюся модель уязвимостей в протоколах на базе Sui.

Управление рисками стало насущной темой среди участников DeFi. Crypto Patel рекомендовал избегать устаревших контрактов и регулярно выводить вознаграждения, а не оставлять их неиспользованными.

Распределение средств по нескольким протоколам вместо их концентрации на одной платформе также снижает подверженность рискам. Мониторинг официальных объявлений протокола перед внесением депозитов добавляет ещё один уровень защиты.

Широкое сообщество DeFi продолжает изучать, как можно укрепить процессы аудита. Прохождение аудита не гарантирует, что протокол свободен от уязвимого кода, особенно в устаревших компонентах.

Постоянные проверки безопасности, охватывающие устаревшие контракты, становятся рекомендуемой практикой. События апреля 2026 года, вероятно, повлияют на то, как протоколы будут подходить к управлению жизненным циклом контрактов в дальнейшем.

Публикация Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak впервые появилась на Blockonomi.