Sui Network децентралізований кредитно-позичковий протокол Scallop 26 квітня (у неділю) через платформу X опублікував офіційне повідомлення, підтвердивши, що зазнав експлойтної атаки: зловмисник витягнув приблизно 150,000 SUI із покинутого контракту винагород, пов’язаного з sSUI spool. Згідно з офіційним оголошенням, основний пул коштів і депозити користувачів не постраждали. Протокол відновив можливість внесення та зняття коштів; підтверджено, що всі збитки буде повністю відшкодовано за рахунок корпоративних коштів.
Хронологія події та офіційна відповідь Scallop
Згідно з офіційним повідомленням Scallop у X-платформі (26 квітня 12:50 UTC), ціллю атаки були допоміжні контрактні винагороди sSUI spool. Цей контракт є рівнем винагород для користувачів, які роблять депозити в SUI, а не основною логікою кредитування протоколу. Команда Scallop за лічені хвилини після настання події заморозила контракти, на які вплинула атака; основний контракт було заморожено, а його розблокування відбулося протягом двох годин. Операції з виведення та поповнення відновилися о 14:42 UTC.
Офіційне повідомлення Scallop містить: «Scallop повністю компенсує 100% збитків».
Технічний аналіз уразливості: нен ініціалізований лічильник у покинутому пакеті за 2023 рік
(Джерело:Vadim)
Згідно з незалежним on-chain аналізом, точка входу для атаки — це покинутий пакет V2 spool, який Scallop розгорнув у листопаді 2023 року; до моменту цієї атаки минуло понад 17 місяців. У технічній архітектурі Sui Network розгорнуті пакети не можна змінювати; якщо явно не встановлено контроль версій, старі версії все ще можуть бути викликані.
Зловмисник виявив у пакеті нен ініціалізований лічильник last_index, який використовується для відстеження накопичених винагород стейкерів. Зловмисник застейкував приблизно 136,000 sSUI; система розцінила цю позицію як таку, що існувала з моменту запуску spool у серпні 2023 року. Після близько 20 місяців експоненційного накопичення індекс spool зріс до приблизно 1.19 мільярда, що дало зловмиснику приблизно 162 трлн винагородних балів, які у співвідношенні 1:1 були конвертовані у 150,000 SUI.
Записи on-chain транзакцій можна переглянути за хешем: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Запис про нещодавні уразливі події у Sui DeFi
Згідно з публічними повідомленнями, на початку квітня 2026 року у Sui Network сталася подібна атака на Volo Protocol: ціллю також були допоміжні контракти, а не основна логіка протоколу, збитки становили близько 3.5 млн доларів США. Крім того, приблизно за тиждень до атаки в мережі Ethereum сталася подія з атакою на міст: було викрадено токени з поновленим забезпеченням на беззаставній ліквідності приблизно на 292 млн доларів США.
На момент публікації цього матеріалу Sui Foundation і Mysten Labs не зробили публічних заяв щодо події Scallop. Відповідно до офіційних пояснень Scallop, протокол планує провести комплексний аудит усіх наявних старих версій пакетів; графік аудиту наразі визначається.
Поширені запитання
Коли відбулася ця уразлива атака і який був масштаб збитків?
Згідно з офіційним повідомленням Scallop у X-платформі, атака сталася 26 квітня 2026 року (у неділю) о 12:50 UTC: зловмисник витягнув приблизно 150,000 SUI із покинутого контракту винагород sSUI spool. Основний пул коштів для кредитування та депозити користувачів на інших ринках не зазнали впливу.
Які офіційні обіцянки Scallop дала щодо цієї атаки?
Згідно з офіційною заявою Scallop, протягом кількох хвилин після атаки було заморожено контракти, на які вплинула подія, а повну функціональність усіх операцій відновили о 14:42 UTC (приблизно через дві години після публікації оголошення). Scallop підтвердив, що всі збитки буде повністю компенсовано за рахунок корпоративних коштів, що на доходи користувачів це не вплине, і що протокол планує провести комплексний аудит усіх наявних старих версій пакетів.
У чому полягає корінна технічна причина цієї уразливості та як вона пов’язана з технічною архітектурою Sui Network?
Згідно з незалежним on-chain аналізом, уразливість виникла через нен ініціалізований лічильник last_index у покинутому пакеті V2 spool, який було розгорнуто в листопаді 2023 року. У Sui Network розгорнуті пакети є незмінними; якщо явно не встановлено контроль версій, старі версії все ще можуть бути викликані, що дало змогу зловмиснику скористатися покинутим кодом понад 17 місяців тому й вилучити 150,000 SUI.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Aave Labs подає пропозицію для Arbitrum: розморозити 30765 ETH на компенсацію постраждалим
Згідно з пропозицією, опублікованою Aave Labs 25 квітня на форумах управління Arbitrum, Aave Labs вимагає від децентралізованої автономної організації (DAO) Arbitrum розморозити 30,765 ETH, пов’язаних із атакою на Kelp DAO, і передати зазначені кошти у фонд відновлення «DeFi United» для відновлення підтримки rsETH та компенсації власникам.
MarketWhisper52хв. тому
Western Union запускає стейблкоїн USDPT у травні, представляє мережу цифрових активів і Stable Card
Повідомлення Gate News, 27 квітня — під час першої квартальної конференції з прибутків 24 квітня Western Union оголосила, що її стейблкоїн на базі Solana, USDPT, перебуває на фінальній стадії підготовки та, як очікується, буде запущений у наступному місяці. Генеральний директор і президент Девін МакГранахан заявив: "Більше не питання в тому, чи Western Union зайде в цифрові активи; тепер питання лише в тому, як швидко ми зможемо масштабуватися. На основі нашої стратегії лежить USDPT — наш стейблкоїн, забезпечений доларом США."
USDPT спочатку буде запущений як інструмент розрахунків B2B, а не як стейблкоїн, орієнтований на споживачів, слугуючи альтернативою мережі SWIFT для розрахунків із партнерами-агентами в окремих країнах. Це дає змогу пришвидшити ончейн-обробку, яка триває навіть під час банківських вихідних.
Western Union також запроваджує Digital Asset Network DAN, який використовує USDPT та інші цифрові активи, щоб з’єднати криптогаманці з роздрібною мережею компанії та мережею агентів; перший партнер має вийти в ефір цього тижня. Крім того, компанія планує запустити USD Stable Card пізніше цього року в десятках ринків, даючи змогу споживачам зберігати вартість у стейблкоїнах і витрачати глобально. МакГранахан зазначив, що "Stable Card є особливо переконливою на ринках, чутливих до інфляції, де клієнти хочуть вартість у доларах із негайною практичною корисністю".
Western Union повідомила про стабілізацію результатів за перший квартал: скоригована виручка становила мільйона, що на 1% менше в річному порівнянні, але на 400 базисних пунктів більше порівняно з Q4. Акції компанії WU, котирування на NYSE, впали на 4,6% до $8.90.
GateNews55хв. тому
Jupiter Lend підвищив ліміт запозичень JLP/JupUSD до $40 мільйонів
Повідомлення Gate News, 27 квітня — Jupiter Lend збільшив ліміт запозичень JLP/JupUSD з $25 мільйона до $40 мільйона. Тепер користувачі можуть позичати до 85% LTV або виконувати рекурсивні операції з JLP.
Протокол оголосив про коригування через соціальні
GateNews1год тому
Polymarket оголосила про оновлення 28 квітня: заставні активи буде перенесено до pUSD, торги призупинені приблизно на 1 годину
Згідно з офіційним оголошенням розробників Polymarket, опублікованим 27 квітня на платформі X, Polymarket запустить повне оновлення базової інфраструктури платформи 28 квітня о 11:00 UTC, а торги буде призупинено приблизно на 1 годину. Це оновлення охоплює нові контракти на торгівлю, рефакторинг книги ордерів, а також запровадження нового забезпечувального токена pUSD, тоді як наявні забезпечувальні активи платформи буде перенесено з USDC.e на pUSD.
MarketWhisper1год тому
Polymarket оновлює платформу 28 квітня, здійснює міграцію застави з USDC.e на pUSD
Повідомлення Gate News, 27 квітня — Polymarket оголосила, що оновить свою платформу 28 квітня 2026 року приблизно о 19:00 UTC, а торгівлю буде призупинено приблизно на одну годину під час вікна технічного обслуговування. Оновлення включає контракт для торгів нового покоління (CTF Exchange V2), відновлену книгу ордерів
GateNews2год тому
Curve пропонує план відновлення за ринковим підходом для $700K безнадійної заборгованості в ринку CRV-long LlamaLend
Повідомлення Gate News, 27 квітня — команда Curve оприлюднила 27 квітня пропозицію щодо врегулювання управління (governance), щоб усунути приблизно $700,000 безнадійної заборгованості з ринку CRV-long LlamaLend, що сталася 10 жовтня 2025 року. Запропонований механізм відновлення використовує опціональність активів CRV-long у сховищах (vault): вартість сховища зростає, коли ціна CRV зростає, але не зазнає додаткових втрат, коли ціна падає.
GateNews2год тому
