Sui Network децентрализованный кредитный протокол Scallop 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что подвергся атаке через уязвимость: злоумышленник извлёк около 150,000 SUI из заброшенного контрактa вознаграждений, связанного с sSUI spool. Согласно официальному заявлению, основной пул капитала и пользовательские депозиты не пострадали; протокол восстановил снятие и пополнение, и подтверждено, что все потери будут компенсированы в полном объёме за счёт средств компании.
Хронология события и официальная реакция Scallop
Согласно сообщению Scallop на официальной X-платформе (26 апреля 12:50 UTC), целью атаки стал вспомогательный контракт вознаграждений sSUI spool — это стимулирующий слой протокола для участников, вносящих депозиты в SUI, а не логика основного кредитования. Команда Scallop заморозила затронутые контракты в течение нескольких минут после инцидента; основной контракт был заморожен до разблокировки в течение двух часов, а снятие и пополнение возобновились в 14:42 UTC.
В официальном заявлении Scallop говорится: «Scallop полностью компенсирует 100% потерь».
Технический анализ уязвимости: неинициализированный счётчик из заброшенного пакета за 2023 год
(Источник:Vadim)
Согласно независимому on-chain анализу, точкой входа для атаки стал заброшенный V2 spool-пакет, развернутый Scallop в ноябре 2023 года; с момента возникновения этой атаки прошло более 17 месяцев. В технической архитектуре Sui Network развернутые пакеты изменить нельзя; если явно не настроен контроль версий, старые версии всё ещё могут вызываться.
Злоумышленник обнаружил в пакете неинициализированный счётчик last_index. Этот счётчик используется для отслеживания накопленных наград стейкеров. Злоумышленник поставил около 136,000 sSUI, а система расценила эту позицию как существующую с тех пор, как spool был запущен в августе 2023 года. После примерно 20 месяцев экспоненциального накопления индекс spool вырос до примерно 1.19 миллиарда, в результате злоумышленник получил около 162 трлн наградных баллов и обменял их в соотношении 1:1 на 150,000 SUI.
On-chain записи транзакций можно запросить по хэшу: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Недавние инциденты с уязвимостями в Sui DeFi
Согласно публичным сообщениям, в начале апреля 2026 года на Sui Network произошла схожая атака на протокол Volo: целью также стали вспомогательные контракты, а не логика основной части протокола, потери составили около 3.5 млн долларов. Кроме того, за неделю до инцидента в сети Ethereum произошло событие, связанное с мостовой атакой: было украдено около 2.92 млрд долларов безобеспеченной токенизированной повторной закладки ликвидности.
По состоянию на момент публикации этого материала Sui Foundation и Mysten Labs не сделали публичных заявлений по инциденту Scallop. Согласно официальному описанию Scallop, протокол планирует провести полный аудит всех существующих старых версий пакетов; сроки аудита пока не определены.
Часто задаваемые вопросы
Каково время возникновения этой уязвимости и масштаб потерь?
Согласно официальному объявлению Scallop на X-платформе, атака произошла 26 апреля 2026 года (в воскресенье) в 12:50 UTC: злоумышленник извлёк около 150,000 SUI из заброшенного контракта вознаграждений sSUI spool. Основной пул средств для кредитования и депозиты пользователей на других рынках не пострадали.
Какие официальные обязательства Scallop принял в связи с этой атакой?
Согласно официальному заявлению Scallop, протокол заморозил затронутые контракты в течение нескольких минут после атаки и восстановил полную функциональность всех операций в 14:42 UTC (примерно через два часа после публикации объявления). Scallop подтверждает, что все потери будут полностью компенсированы за счёт средств компании, что доходы пользователей не пострадают, и что протокол планирует провести полный аудит всех существующих старых версий пакетов.
В чём заключалась основная техническая причина этой уязвимости и как она связана с технической архитектурой Sui Network?
Согласно независимому on-chain анализу, уязвимость возникла из неинициализированного счётчика last_index в заброшенном V2 spool-пакете, развернутом в ноябре 2023 года. В Sui Network развернутые пакеты неизменяемы; если явно не настроен контроль версий, старые версии всё ещё могут вызываться, что позволило злоумышленнику использовать заброшенный код более чем 17-месячной давности для извлечения 150,000 SUI.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Aave Labs предлагает Arbitrum: разморозить 30765 ETH в качестве компенсации пострадавшим
Согласно предложению, опубликованному Aave Labs 25 апреля на форуме по управлению Arbitrum, Aave Labs требует, чтобы децентрализованная автономная организация (DAO) Arbitrum разморозила 30,765 ETH, связанные с атакой на Kelp DAO, и направила указанные средства в фонд восстановления «DeFi United» для восстановления поддержки rsETH и компенсации держателей.
MarketWhisper1ч назад
Western Union запустит стейблкоин USDPT в мае, представит Digital Asset Network и Stable Card
Сообщение Gate News, 27 апреля — Western Union объявила в ходе телефонного разговора по итогам первого квартала 24 апреля, что ее стейблкоин на базе Solana, USDPT, находится на финальной стадии подготовки и, как ожидается, будет запущен в следующем месяце. Генеральный директор и президент Девин МакГранахан заявил: "Теперь вопрос не в том, будет ли Western
GateNews1ч назад
Jupiter Lend увеличивает лимит заимствований JLP/JupUSD до $40 миллиона
Новостное сообщение Gate News, 27 апреля — Jupiter Lend увеличил лимит заимствований JLP/JupUSD с $25 миллиона до $40 миллиона. Теперь пользователи могут занимать до 85% LTV или выполнять рекурсивные операции с JLP.
Протокол объявил об изменении через социальные
GateNews1ч назад
Polymarket объявляет обновление 28 апреля: залоговые активы будут перенесены в pUSD, торги приостановятся примерно на 1 час
Согласно официальному объявлению разработчика Polymarket, опубликованному 27 апреля в X, Polymarket запустит комплексное обновление базовой инфраструктуры платформы 28 апреля в 11:00 UTC; торговля будет приостановлена примерно на 1 час. Это обновление включает новые торговые контракты следующего поколения, рефакторинг книги ордеров, а также внедрение нового обеспечительного токена pUSD, при этом текущие обеспечительные активы платформы будут перенесены с USDC.e на pUSD.
MarketWhisper1ч назад
Polymarket обновляет платформу 28 апреля, перевод залога с USDC.e на pUSD
Сообщение Gate News, 27 апреля — Polymarket объявила, что обновит свою платформу 28 апреля 2026 года примерно в 19:00 UTC; торговля будет приостановлена примерно на один час в течение окна технического обслуживания. Обновление включает новый торговый контракт (CTF Exchange V2), восстановленную книгу ордеров
GateNews3ч назад
Curve предлагает план восстановления задолженности на основе рыночного механизма для $700K проблемной задолженности в рынке CRV-long LlamaLend
Сообщение Gate News, 27 апреля — команда Curve опубликовала 27 апреля проект предложения по управлению, чтобы решить примерно $700,000 в проблемной задолженности на рынке CRV-long LlamaLend, которая произошла 10 октября 2025 года. Предлагаемый механизм восстановления использует опциональность активов CRV-long в хранилище: стоимость хранилища растет, когда цена CRV растет, но не несет дополнительных потерь при падении цены.
GateNews3ч назад
