Gate News-Meldung, 26. April — Scallop Protocol, eine Kreditplattform auf der Sui-Blockchain, erlitt einen Flash-Loan-Exploit, der auf einen veralteten Side-Contract abzielte, der mit seinem sSUI-Rewards-Pool verknüpft ist, was zu einem Verlust von ungefähr $142,000 (150,000 SUI) führte. Der Angriff nutzte die Manipulation des Oracle-Preisfeeds, um die SUI/USDC-Kurswechsel künstlich zu drücken und Vermögenswerte zu verzerrten Preisen zu leihen, wobei der Angreifer den Flash-Loan innerhalb derselben Transaktion zurückzahlte und die Differenz einsteckte.
Das Kernproblem ging auf einen veralteten V2-Contract zurück, der im November 2023 bereitgestellt wurde und on-chain weiterhin aufrufbar blieb. In diesem veralteten Contract wurde eine kritische Variable namens “last_index” beim Erstellen neuer Konten nie initialisiert. Dieser Fehler ermöglichte dem Angreifer, Rewards einzufordern, als hätte er seit der Einführung des Pools gestaket. Da der Reward-Index über 20 Monate auf 1,19 Milliarden angewachsen war, stakete der Angreifer 136.000 sSUI, erhielt jedoch 162 Billionen Punkte gutgeschrieben. Da der Rewards-Pool mit einem 1:1-Umrechnungskurs lief, wurden diese Punkte direkt in 162.000 SUI an Rewards umgewandelt. Der Pool enthielt nur 150.000 SUI, und alle Mittel wurden abgezogen. On-chain-Daten zeigen, dass die gestohlenen Gelder schnell über einen Mixing-Dienst geleitet wurden, was die Wiederherstellung erschwert.
Das Team von Scallop reagierte, indem es die Abläufe vorübergehend pausierte, bevor es die Kern-Contracts wieder freischaltete und alle Operationen wieder aufnahm. Das Protokoll bestätigte, dass der Exploit auf den veralteten Rewards-Contract isoliert war und weder das Kernprotokoll noch die Einzahlungen der Nutzer betraf, wobei alle Mittel sicher blieben. Der Angreifer kontaktierte das Team anschließend und bot an, 80% der gestohlenen Mittel im Austausch gegen eine White-Hat-Bounty zurückzugeben, und der Vorfall wird nun untersucht. Das Team wird prüfen, wie der Fehler bei früheren Audits durch Firmen einschließlich OtherSec und MoveBit nicht erkannt wurde.
Der SUI-Preis blieb nach dem Exploit robust und stieg ungefähr 2% in den 24 Stunden nach dem Angriff, während er bei $0.94 gehandelt wurde, mit einem täglichen Handelsvolumen von rund $187 million. Der Vorfall spiegelt einen breiteren Trend im April 2026 wider, bei dem große DeFi-Exploits auf veraltete Contracts und Infrastruktur-Ebenen statt auf die Logik des Kernprotokolls abzielten, wobei die kumulierten Verluste $600 million über 12 große Vorfälle im Laufe des Monats überstiegen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
22-Jähriger zu 70 Monaten verurteilt wegen $263 Million Krypto-Diebstahl Geldwäsche
Der kalifornische Einwohner Evan Tangeman, 22, wurde am Freitag zu 70 Monaten Bundesgefängnis verurteilt, weil er bei der Geldwäsche von Erträgen aus einem landesübergreifenden Krypto-Diebstahlring eine Rolle spielte, der ungefähr $263 Millionen an digitalen Vermögenswerten von Opfern gestohlen hatte, so das US-Justizministerium. U.S.
CryptoFrontier3Std her
Litecoin erleidet tiefe Ketten-Neuorganisation nach Zero-Day-Exploit der MWEB-Privacy-Layer
Gate News-Nachricht, 26. April — Litecoin durchlief am Samstag nachmittags eine tiefgreifende Ketten-Neuorganisation, nachdem Angreifer eine Zero-Day-Schwachstelle in seiner MimbleWimble Extension Block (MWEB)-Privacy-Layer ausgenutzt hatten, gemäß
GateNews3Std her
Adresse im Zusammenhang mit Avi Eisenberg zeigt neue On-Chain-Aktivität und wirft Sicherheitsbedenken auf
Gate-News-Meldung, 26. April — Die Blockchain-Analyseplattform Arkham hat erneute On-Chain-Aktivitäten von einer Adresse identifiziert, von der man glaubt, dass sie mit Avi Eisenberg in Verbindung steht, dem Angreifer, der aus dem Mango-Markets-Exploit 2022 ungefähr $110 Millionen profitiert hat. Eisenberg wurde zuvor verurteilt, weil er
GateNews5Std her
Sui-Chain-DeFi-Kreditverleih-Protokoll Scallop wird gehackt, eine Schwachstelle im alten Vertragswerk führt zu Diebstahl von 150.000 SUI
Scallop wird auf der Sui-Kette angegriffen, wobei ein seitlicher Vertrag die sSUI-Belohnungs-Pools in Mitleidenschaft zieht und ausgenutzt wird; etwa 150.000 SUI werden gestohlen. Der Kernvertrag ist sicher, Ein- und Auszahlungen sind wiederhergestellt. Die offizielle Stellungnahme gilt nur für die veralteten Belohnungsverträge, die Gelder der Nutzer sind nicht betroffen. Der frühere NEAR-Entwickler Vadim sagt, die Sicherheitslücke stamme von einem V2-Paket in einer alten Version, das vor 17 Monaten veröffentlicht wurde: Da last_index nicht initialisiert wurde, wurden die Belohnungen seit 2023 aufgestaut; die Behebung müsse darin bestehen, beim gemeinsamen Objekt ein Versionsfeld hinzuzufügen und die Versionsprüfung zu verstärken, um Risiken durch veraltete Pakete zu vermeiden.
ChainNewsAbmedia6Std her
Scallop entdeckt eine Schwachstelle im sSUI-Reward-Pool, erleidet einen Verlust von 150K SUI, verspricht jedoch vollständigen Ausgleich
Gate News-Meldung, 26. April — Scallop, ein Kreditvergabe-Protokoll im Sui-Ökosystem, gab die Entdeckung einer Sicherheitslücke in einem Zusatzvertrag bekannt, der mit seinem sSUI-Reward-Pool verbunden ist, was zu einem Verlust von ungefähr 150.000 SUI führte. Der betroffene Vertrag wurde eingefroren, und Scallop bestätigte
GateNews10Std her
Litecoin erleidet tiefe Kettenneugruppierung nach Zero-Day-Exploit der MWEB-Privacy-Layer
Gate News-Meldung, 26. April — Litecoin erlebte am Samstag eine tiefgreifende Kettenneugruppierung (April 26), nachdem Angreifer eine Zero-Day-Schwachstelle in seiner MimbleWimble Extension Block (MWEB)-Datenschutzschicht ausgenutzt hatten, so die Litecoin Foundation. Die Reorg umfasste die Blöcke 3,095,930 bis 3,095,943 und
GateNews11Std her
