Sui Network децентрализованный кредитный протокол Scallop 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что подвергся атаке через уязвимость: злоумышленник извлёк около 150,000 SUI из заброшенного контрактa вознаграждений, связанного с sSUI spool. Согласно официальному заявлению, основной пул капитала и пользовательские депозиты не пострадали; протокол восстановил снятие и пополнение, и подтверждено, что все потери будут компенсированы в полном объёме за счёт средств компании.
Хронология события и официальная реакция Scallop
Согласно сообщению Scallop на официальной X-платформе (26 апреля 12:50 UTC), целью атаки стал вспомогательный контракт вознаграждений sSUI spool — это стимулирующий слой протокола для участников, вносящих депозиты в SUI, а не логика основного кредитования. Команда Scallop заморозила затронутые контракты в течение нескольких минут после инцидента; основной контракт был заморожен до разблокировки в течение двух часов, а снятие и пополнение возобновились в 14:42 UTC.
В официальном заявлении Scallop говорится: «Scallop полностью компенсирует 100% потерь».
Технический анализ уязвимости: неинициализированный счётчик из заброшенного пакета за 2023 год
(Источник:Vadim)
Согласно независимому on-chain анализу, точкой входа для атаки стал заброшенный V2 spool-пакет, развернутый Scallop в ноябре 2023 года; с момента возникновения этой атаки прошло более 17 месяцев. В технической архитектуре Sui Network развернутые пакеты изменить нельзя; если явно не настроен контроль версий, старые версии всё ещё могут вызываться.
Злоумышленник обнаружил в пакете неинициализированный счётчик last_index. Этот счётчик используется для отслеживания накопленных наград стейкеров. Злоумышленник поставил около 136,000 sSUI, а система расценила эту позицию как существующую с тех пор, как spool был запущен в августе 2023 года. После примерно 20 месяцев экспоненциального накопления индекс spool вырос до примерно 1.19 миллиарда, в результате злоумышленник получил около 162 трлн наградных баллов и обменял их в соотношении 1:1 на 150,000 SUI.
On-chain записи транзакций можно запросить по хэшу: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Недавние инциденты с уязвимостями в Sui DeFi
Согласно публичным сообщениям, в начале апреля 2026 года на Sui Network произошла схожая атака на протокол Volo: целью также стали вспомогательные контракты, а не логика основной части протокола, потери составили около 3.5 млн долларов. Кроме того, за неделю до инцидента в сети Ethereum произошло событие, связанное с мостовой атакой: было украдено около 2.92 млрд долларов безобеспеченной токенизированной повторной закладки ликвидности.
По состоянию на момент публикации этого материала Sui Foundation и Mysten Labs не сделали публичных заявлений по инциденту Scallop. Согласно официальному описанию Scallop, протокол планирует провести полный аудит всех существующих старых версий пакетов; сроки аудита пока не определены.
Часто задаваемые вопросы
Каково время возникновения этой уязвимости и масштаб потерь?
Согласно официальному объявлению Scallop на X-платформе, атака произошла 26 апреля 2026 года (в воскресенье) в 12:50 UTC: злоумышленник извлёк около 150,000 SUI из заброшенного контракта вознаграждений sSUI spool. Основной пул средств для кредитования и депозиты пользователей на других рынках не пострадали.
Какие официальные обязательства Scallop принял в связи с этой атакой?
Согласно официальному заявлению Scallop, протокол заморозил затронутые контракты в течение нескольких минут после атаки и восстановил полную функциональность всех операций в 14:42 UTC (примерно через два часа после публикации объявления). Scallop подтверждает, что все потери будут полностью компенсированы за счёт средств компании, что доходы пользователей не пострадают, и что протокол планирует провести полный аудит всех существующих старых версий пакетов.
В чём заключалась основная техническая причина этой уязвимости и как она связана с технической архитектурой Sui Network?
Согласно независимому on-chain анализу, уязвимость возникла из неинициализированного счётчика last_index в заброшенном V2 spool-пакете, развернутом в ноябре 2023 года. В Sui Network развернутые пакеты неизменяемы; если явно не настроен контроль версий, старые версии всё ещё могут вызываться, что позволило злоумышленнику использовать заброшенный код более чем 17-месячной давности для извлечения 150,000 SUI.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Solana выбирает Falcon для постквантовой криптографии: подготовка к миграции завершена
Новостное сообщение Gate News, 27 апреля — официальная команда Solana опубликовала всеобъемлющую дорожную карту по квантовым вычислениям, подтвердив, что квантовые угрозы остаются на годы впереди, в то время как экосистема уже завершила обширные исследования и техническую подготовку.
Две независимые команды разработки клиентского ПО валидаторов,
GateNews18м назад
Alphea запускает AI-native блокчейн уровня 1 с автономным исполнением агентов
Gate News-сообщение, 27 апреля — Alphea, недавно представленная платформа уровня 1 (Layer 1) для инфраструктуры ИИ, официально представила свою децентрализованную среду выполнения на Гонконгском Web3-фестивале 2026. Платформа объединяет выполнение, долговременную память и проверяемые вычисления в качестве базовых функций уровня блокчейна, а не опциональных компонентов уровня приложений, позволяя автономным ИИ-агентам работать независимо, как
GateNews40м назад
Lise завершает первое в мире токенизированное IPO на регулируемой бирже
Сообщение Gate News, 27 апреля — Lise (Lightning Stock Exchange), регулируемая биржа из Парижа, закрыла то, что она описывает как первое в мире (IPO), проведенное на полностью регулируемой, нативно токенизированной инфраструктуре рынка. ST GROUP, французская промышленная МСП, поставляющая композитные материалы для оборонного и аэрокосмического секторов,
GateNews1ч назад
Кроссчейн-мост Maple Finance превзошел $7B по общей сумме
Сообщение Gate News, 27 апреля — Maple Finance объявила в понедельник, что ее кроссчейн-мост обработал более $7 миллиарда в общей сумме, достигнув значимого рубежа для протокола.
Это достижение отражает растущее внедрение долларовых доходных активов Maple в нескольких блокчейн-экосистемах, демонстрируя рыночный спрос на продукты со доходностью в виде стейблкоинов за пределами развертываний в рамках одной цепочки. Инфраструктура моста Maple снижает трение при перемещении кроссчейн-активов, позволяя пользователям получать доступ к ее продуктам с фиксированным доходом на разных сетях.
GateNews1ч назад
Спор вокруг форка Bitcoin: план eCash нацелен на скрытые активы Сатоши
Новое предложение о хардфорке Bitcoin от разработчика Пола Сторца вызвало ожесточенные споры по всей крипто-отрасли. Планируемый форк, названный eCash, как ожидается, будет запущен в августе 2026 года и должен распределить токены среди держателей Bitcoin в соотношении 1:1. Однако данное предложение подверглось критике из-за
CryptometerIo1ч назад
Tether запускает Mining Development Kit (MDK), открытую среду для майнеров Bitcoin
Сообщение Gate News, 27 апреля — Tether объявила о запуске Mining Development Kit (MDK), открытой полнофункциональной среды разработки с открытым исходным кодом, предназначенной для обеспечения единого контроля над всем инфраструктурным стеком для майнеров и разработчиков Bitcoin.
MDK предлагает открытую модульную архитектуру с
GateNews3ч назад
