Вход

Взлом Scallop на $142 000.: как устаревший контракт стал точкой входа для атаки

В конце апреля 2026 года децентрализованный протокол кредитования Scallop, работающий в экосистеме блокчейна Sui, стал жертвой изощрённой атаки: злоумышленник извлек около 150 000 SUI (примерно $142 000) из пула вознаграждений sSUI, эксплуатируя уязвимость в устаревшем смарт-контракте. Инцидент, классифицированный как эксплойт через flash loan с манипуляцией оракульных данных, привлек внимание сообщества к фундаментальной проблеме управления унаследованным кодом в децентрализованных финансах.

⚠️ Ключевой факт: Атака не затронула основные контракты протокола — все пользовательские депозиты остались в безопасности, а команда Scallop обязалась полностью компенсировать убытки из собственных средств.

🔍 Хронология инцидента: от эксплойта до восстановления

События развернулись в воскресенье, 26 апреля 2026 года:

  1. Обнаружение аномалии: системы мониторинга Scallop зафиксировали нестандартную транзакцию, выводящую средства из пула вознаграждений sSUI
  2. Анализ вектора атаки: исследователи определили, что злоумышленник использовал уязвимость в устаревшем V2-контракте, развернутом ещё в ноябре 2023 года
  3. Экстракция средств: атакующий вывел ~150 000 SUI через манипуляцию логикой верификации наград
  4. Реакция команды: разработчики оперативно заморозили скомпрометированный контракт и приостановили операции для проверки безопасности
  5. Восстановление работы: после подтверждения безопасности основных контрактов платформа возобновила нормальную работу
  6. Обещание компенсации: команда заявила о готовности покрыть 100% убытков из собственных резервов

По данным аналитиков, инцидент стал 13-м зафиксированным взломом в секторе DeFi в апреле 2026 года, добавившись к совокупным потерям отрасли, превысившим $606 миллионов за месяц [[5]].

«Безопасность — это не продукт, а процесс. Нельзя один раз настроить защиту и забыть о ней. Угрозы эволюционируют, и защита должна эволюционировать вместе с ними», — Брюс Шнайер, эксперт по кибербезопасности.

⚙️ Техническая деталь: как работала уязвимость deprecated-контракта

Для понимания инцидента важно разобраться в архитектуре системы вознаграждений Scallop:

Что такое sSUI rewards pool

Scallop предлагает пользователям стейкать токены sSUI для получения дополнительных наград:

  • Пользователи блокируют sSUI в специальном пуле («spool»)
  • Система начисляет вознаграждения на основе исторических индексов доходности
  • Логика верификации сравнивает текущий индекс с точкой входа пользователя

Механика эксплойта

Злоумышленник использовал уязвимость в устаревшем V2-контракте:

  1. Доступ к старому коду: в блокчейне Sui смарт-контракты неизменяемы, поэтому устаревший V2-контракт оставался доступным для прямого вызова
  2. Манипуляция last_index: в контракте присутствовала неинициализированная переменная last_index, позволяющая обмануть систему верификации
  3. Инфляция наград: атакующий застейкал 136 000 sSUI и, используя баг, получил вознаграждение, рассчитанное от полного исторического индекса, а не от персональной точки входа
  4. Flash loan для манипуляции цен: параллельно злоумышленник использовал flash loan для временного искажения ценовых фидов SUI/USDC, чтобы занять активы по заниженной ставке
  5. Одноблочная атака: все операции были выполнены в рамках одной транзакции, что позволило погасить flash loan и зафиксировать прибыль

Почему это сработало

  • Неизменяемость блокчейна: в отличие от традиционного ПО, смарт-контракты в Sui нельзя «удалить» — они остаются в сети навсегда
  • Прямой вызов контракта: атакующий обошёл стандартные SDK-интерфейсы, взаимодействуя напрямую с устаревшим кодом
  • Отсутствие проверок: контракт не валидировал корректность last_index для новых пользователей

Как отметил ончейн-аналитик @zacodil: «Scallop был взломан на 150 000 SUI кем-то, кто точно знал, к какому устаревшему пакету обратиться. Не к активному коду. Не через SDK. К старому V2 от ноября 2023 года, которым никто не пользовался месяцами» [[10]].

🔍 Практический вывод: В неизменяемых блокчейнах устаревший код — это не «архив», а потенциальная поверхность атаки. Каждый развернутый контракт требует постоянного мониторинга или явного вывода из эксплуатации.

💰 Последствия инцидента: кто пострадал и насколько

Несмотря на успешную атаку, масштабы ущерба оказались ограниченными:

Прямые потери

  • Сумма ущерба: ~150 000 SUI (~$142 000 на момент инцидента)
  • Источник средств: только пул вознаграждений sSUI, основные депозиты пользователей не затронуты
  • Компенсация: команда Scallop обязалась покрыть 100% убытков из собственных резервов

Косвенные эффекты

  • Временная приостановка: платформа была отключена на несколько часов для проверки безопасности
  • Репутационный риск: инцидент поднял вопросы о практиках управления унаследованным кодом
  • Волатильность токена: цена нативного токена SCA краткосрочно снизилась на 2.5% на фоне новостей

Положительные аспекты

  • Быстрая реакция: команда оперативно заморозила уязвимый контракт и восстановила работу
  • Прозрачность: публичное признание инцидента и обещание компенсации укрепили доверие
  • Изоляция ущерба: атака не затронула ядро протокола, что подтвердило эффективность модульной архитектуры
«В мире криптовалют ваша безопасность — это ваша ответственность. Но когда команда берет на себя ответственность за инциденты — это сигнал зрелости проекта», — Андреас Антонопулос, эксперт по биткоину.

🛡️ Реакция Scallop: прозрачность и план восстановления

Команда проекта предприняла следующие шаги после обнаружения атаки:

Немедленные действия

  • Заморозка контракта: уязвимый V2-контракт был немедленно отключен от сети
  • Приостановка операций: платформа временно остановила депозиты и выводы для аудита безопасности
  • Публичное уведомление: команда оперативно информировала сообщество через официальный аккаунт в X (Twitter)

Среднесрочные меры

  • Аудит унаследованного кода: пересмотр всех развернутых контрактов на предмет потенциальных уязвимостей
  • Усиление мониторинга: внедрение дополнительных алертов на аномальные вызовы устаревших контрактов
  • Компенсация пользователям: выделение резервов для полного возмещения убытков пула вознаграждений

Долгосрочные улучшения

  • Процедуры вывода контрактов: разработка формального процесса для безопасного «отключения» устаревшего кода
  • Усиленный аудит: привлечение дополнительных независимых фирм для проверки безопасности
  • Программа баг-баунти: расширение вознаграждений за обнаружение уязвимостей в экосистеме Scallop

💡 Важно: Пользователям рекомендуется проверять статус своих позиций через официальный интерфейс Scallop и следить за обновлениями в официальных каналах проекта.

📊 Контекст: волна взломов в экосистеме Sui в 2026 году

Инцидент с Scallop произошел на фоне серии атак на проекты в сети Sui:

  • Cetus DEX (май 2025): взлом на $200 млн через уязвимость в логике ликвидности
  • Nemo Protocol (февраль 2026): эксплойт оракулов с потерями ~$1.2 млн
  • Volo Finance (апрель 2026): атака на логику обновления позиции, ущерб $3.5 млн
  • Scallop (апрель 2026): эксплуатация deprecated-контракта, ущерб $142 000

Эксперты отмечают, что рост числа инцидентов в относительно молодой экосистеме — не признак фундаментальной слабости, а естественный этап взросления: по мере привлечения ликвидности и пользователей растёт и интерес злоумышленников.

«Риск приходит от того, что вы не знаете, что делаете. Знание — первый шаг к защите», — Уоррен Баффет, инвестор.

🔐 Уроки для разработчиков: управление унаследованным кодом в DeFi

Инцидент с Scallop выделяет несколько ключевых принципов безопасности для создателей децентрализованных протоколов:

  1. Инвентаризация контрактов: ведите реестр всех развернутых контрактов с метками статуса (активный, устаревший, архивный)
  2. Явный вывод из эксплуатации: для устаревших контрактов внедряйте механизмы «self-destruct» или явного отключения, если это позволяет архитектура блокчейна
  3. Мониторинг прямых вызовов: отслеживайте транзакции, обращающиеся к старым версиям контрактов вне стандартных интерфейсов
  4. Валидация входных данных: даже в устаревшем коде все входные параметры должны проверяться на корректность
  5. Документирование изменений: фиксируйте причины и даты вывода контрактов из эксплуатации для прозрачности перед сообществом

🌐 Что могут сделать пользователи для защиты своих средств

Хотя основная ответственность за безопасность лежит на разработчиках, пользователи также могут снизить свои риски:

  • Диверсификация: не концентрируйте все активы в одном протоколе, особенно в новых или экспериментальных функциях
  • Мониторинг новостей: подписывайтесь на официальные каналы проектов, чтобы оперативно узнавать об инцидентах
  • Осторожность с новыми функциями: избегайте использования экспериментальных пулов или контрактов до их широкого тестирования сообществом
  • Проверка транзакций: перед подтверждением операции сверяйте детали в блокчейн-эксплорере
  • Использование аппаратных кошельков: для значительных сумм храните средства на устройствах, изолированных от интернета

🔮 Будущее управления кодом в неизменяемых блокчейнах

Инцидент с Scallop ускоряет развитие нескольких направлений в области безопасности смарт-контрактов:

  • Стандарты вывода контрактов: отраслевые инициативы по унификации процедур безопасного отключения устаревшего кода
  • Инструменты мониторинга: специализированные сервисы для отслеживания активности унаследованных контрактов в реальном времени
  • Формальная верификация: математическое доказательство корректности не только активного, но и архивного кода
  • Децентрализованные системы управления: механизмы голосования сообщества за вывод контрактов из эксплуатации
  • Образовательные инициативы: материалы для разработчиков о лучших практиках управления жизненным циклом контрактов
«Инновации в безопасности должны опережать инновации в атаках. Это гонка, в которой нельзя останавливаться», — Виталик Бутерин, сооснователь Эфириума.

✨ Заключение: устойчивость через прозрачность и ответственность

Инцидент с взломом Scallop на $142 000 — не провал безопасности, а демонстрация того, как зрелые протоколы могут реагировать на угрозы. Быстрая реакция команды, прозрачная коммуникация и готовность взять на себя финансовую ответственность превратили потенциальный кризис доверия в управляемый инцидент с позитивным исходом.

Для сообщества ключевой вывод остаётся неизменным: децентрализация — это не гарантия отсутствия проблем, а способность системы восстанавливаться без центрального контроля. Каждая уязвимость, каждый инцидент — это урок, который делает сеть сильнее, если из него извлекают правильные выводы.

🎯 Главный принцип: В мире неизменяемых блокчейнов устаревший код — это не архив, а потенциальная поверхность атаки. Проактивное управление жизненным циклом контрактов — не опция, а необходимость для долгосрочной безопасности.

Пока индустрия продолжает развивать практики управления унаследованным кодом, ответственность за безопасность распределяется между разработчиками, аудиторами и пользователями. И в этой непрерывной эволюции побеждают те, кто видит в инцидентах не повод для паники, а возможность стать прозрачнее, ответственнее и надёжнее.

«Технологии должны усиливать человеческий потенциал, а не подменять его. Безопасность — это не препятствие для инноваций, а условие их устойчивости», — Виталик Бутерин, сооснователь Эфириума.
28.04.2026, 01:09
Новости