Scallop Protocol สูญเสีย $142K จากการโจมตี flash loan ที่รวมกับการโจมตีจัดการ oracle

Scallop Protocol ถูกโจมตีด้วย flash loan ในวันอาทิตย์ที่ผ่านมา ผู้โจมตีสามารถขโมยเงินไปได้ประมาณ 142,000 ดอลลาร์ (150,000 SUI) ในสิ่งที่ดูเหมือนจะเป็นการโจมตีแบบ oracle manipulation ที่มีเป้าหมายชัดเจน การโจมตีครั้งนี้ไม่ได้แตะต้อง core contract ของโปรโตคอล แต่เปิดเผยให้เห็นถึงข้อบกพร่องในการออกแบบที่ลึกกว่านั้น

ผู้โจมตีได้ใช้ประโยชน์จาก side contract ที่ถูก deprecated ซึ่งเชื่อมโยงกับ sSUI rewards pool ของ Scallop ทีมงานยืนยันว่า core protocol ยังคงสมบูรณ์และเงินฝากของผู้ใช้ทั้งหมดปลอดภัย อย่างไรก็ตาม ความเสียหายถูกจำกัดอยู่เฉพาะส่วนที่แยกออกมานั้น

โค้ดเก่าหรือข้อบกพร่องของ Oracle?

นักวิเคราะห์ชี้ว่าปัญหาหลักคือการจัดการ custom oracle price feeds ของ Scallop ซึ่งทำให้ผู้โจมตีสามารถกดอัตรา SUI/USDC ให้ต่ำลงอย่างเทียมได้ และกู้ยืมสินทรัพย์ในราคาที่บิดเบือนเหล่านั้น จากนั้นจึงชำระคืน flash loan ภายในธุรกรรมเดียวกัน ในท้ายที่สุด ผู้ต้องสงสัยได้รับส่วนต่างไปครอง

นี่เป็นรูปแบบการโจมตี DeFi ที่คุ้นเคย แต่การลงมือในครั้งนี้มีความแม่นยำผิดปกติ ผู้โจมตีไม่ได้มุ่งเป้าไปที่โค้ดที่ใช้งานอยู่หรือเส้นทาง SDK มาตรฐาน แต่เข้าไปโต้ตอบกับ contract V2 รุ่นเก่าจากเดือนพฤศจิกายน 2566 ซึ่งเป็นเวอร์ชันที่ถูกทิ้งไว้แต่ยังสามารถเรียกใช้งานบน chain ได้ Sui เก็บ contract versions ที่ deploy ไว้ทั้งหมดให้ไม่สามารถเปลี่ยนแปลงและเข้าถึงได้ตลอดเวลา นั่นจึงเป็นเหตุผลที่ package ที่ล้าสมัยนี้กลายเป็นช่องโหว่ที่ซ่อนอยู่

ราคา Sui ไม่ได้รับผลกระทบหลังจากถูกโจมตี โดยขึ้นมาเกือบ 2% ในช่วง 24 ชั่วโมงที่ผ่านมา Sui ซื้อขายอยู่ที่ 0.94 ดอลลาร์ ณ เวลาที่เขียนข่าว ปริมาณการซื้อขายใน 24 ชั่วโมงอยู่ที่ประมาณ 187 ล้านดอลลาร์

ผู้เชี่ยวชาญรายหนึ่งกล่าวในโพสต์ว่าข้อบกพร่องนั้นละเอียดอ่อนแต่ร้ายแรง ใน contract ที่ถูก deprecated ตัวแปรสำคัญ "last_index" ไม่เคยถูก initialize เมื่อมีการสร้างบัญชีใหม่ ซึ่งทำให้ผู้โจมตีสามารถเคลมรางวัลได้ราวกับว่าตนเองได้ staking มาตั้งแต่เริ่มต้น pool

เมื่อ reward index เติบโตขึ้นตามเวลา ผู้โจมตีก็สามารถเครดิตตัวเองด้วย reward pool ทั้งหมดในธุรกรรมเดียว โดยกล่าวว่า Spool index เติบโตขึ้นถึง 1.19 พันล้านในช่วง 20 เดือน 

ผู้โจมตี stake sSUI 136,000 และได้รับเครดิต 162 ล้านล้านพอยต์ อย่างไรก็ตาม rewards pool ใช้อัตราแลกเปลี่ยน 1:1 (ทั้งตัวเศษและตัวส่วนเท่ากับ 1) ดังนั้น 162 ล้านล้านพอยต์จึงแปลงโดยตรงเป็นรางวัลมูลค่า 162,000 SUI pool มี SUI อยู่เพียง 150,000 และถูกดูดออกไปทั้งหมด

ข้อมูล on-chain แสดงให้เห็นว่าเงินที่ถูกขโมยถูกส่งต่ออย่างรวดเร็วผ่านบริการ mixing คล้ายกับ Tornado Cash บน Sui ซึ่งทำให้การกู้คืนเงินยากยิ่งขึ้น

Scallop กลับมาออนไลน์หลังถูกแฮก

ทีมงาน Scallop ตอบสนองด้วยการหยุดการดำเนินงานชั่วคราว จากนั้นรายงานว่าได้ปลดล็อก core contracts แล้วและการดำเนินงานทั้งหมดได้กลับมาเป็นปกติ โพสต์บน X ระบุว่าปัญหาดังกล่าวไม่เกี่ยวข้องกับ core protocol และถูกจำกัดอยู่ใน deprecated rewards contract เท่านั้น ในท้ายที่สุด เงินฝากของผู้ใช้ไม่ได้รับผลกระทบและเงินทั้งหมดยังคงปลอดภัย การถอนเงินและฝากเงินกลับมาดำเนินการได้ตามปกติแล้ว

ผู้โจมตีรายงานว่าได้ติดต่อทีมงานและเสนอที่จะคืนเงิน 80% เพื่อแลกกับ white-hat bounty ขณะนี้เหตุการณ์ดังกล่าวอยู่ระหว่างการสอบสวน ทีมงานจะตรวจสอบว่าข้อบกพร่องผ่านการตรวจสอบก่อนหน้านี้โดยบริษัทอย่าง OtterSec และ MoveBit ได้อย่างไร

Cryptopolitan รายงานว่าเหตุการณ์สำคัญหลายครั้งในเดือนเมษายน 2569 ไม่ได้มาจาก core protocol logic แต่เกิดจาก contract เก่า, adapter หรือ infrastructure layer ที่ยังเข้าถึงได้แต่ถูกมองข้าม ความสูญเสียสะสมเกิน 750 ล้านดอลลาร์ภายในกลางเดือนเมษายน เดือนเมษายน 2569 เพียงเดือนเดียวมีมูลค่าเงินที่ถูกขโมยเกิน 600 ล้านดอลลาร์จาก 12 เหตุการณ์สำคัญ 

Kelp DAO และ Drift Protocol รวมกันคิดเป็นประมาณ 95% ของความสูญเสียในเดือนเมษายน การโจมตี Kelp ส่งผลให้เกิดหนี้เสียมูลค่า 177 ล้านดอลลาร์บน Aave ในขณะเดียวกัน Security Council ของ Arbitrum สามารถอายัด ETH จำนวน 30,766 (มูลค่าประมาณ 71 ล้านดอลลาร์) จากเงินที่ถูกขโมยได้สำเร็จ

Hyperliquid ยังคงเป็น token ที่ใหญ่ที่สุดในหมวด DeFi ราคา HYPE ขึ้นมา 10% ในช่วง 30 วันที่ผ่านมา โดยซื้อขายอยู่ที่ 41.95 ดอลลาร์ ณ เวลาที่เขียนข่าว Chainlink อยู่ในอันดับที่ 2 LINK ซื้อขายอยู่ที่ประมาณ 9.4 ดอลลาร์

ธนาคารของคุณกำลังใช้เงินของคุณ คุณได้รับแค่เศษเสี้ยว ดูวิดีโอฟรีของเราเกี่ยวกับการเป็นธนาคารของตัวเอง