Sui ağındaki bir borç verme protokolü olan Scallop, 26 Nisan'da eski bir ödül sözleşmesinden yaklaşık 142.000 dolar değerindeki 150.000 SUI token'ının çekilmesine neden olan bir açığın ardından kullanıcılarına tam bir geri ödeme yapacağını taahhüt etti.
Para piyasası X üzerinden yaptığı açıklamada, "Scallop zararın %100'ünü tamamen karşılayacaktır" diyerek çekirdek operasyonların iki saatten kısa bir sürede yeniden başladığını ekledi.
Güvenlik açığı, Kasım 2023'te yayınlanan ve başlatılmamış bir last_index sayacı içeren 17 aylık bir V2 spool paketine kadar takip edildi. Saldırgan, yaklaşık 136.000 sSUI stake ederek sözleşmeyi, pozisyon Ağustos 2023'ten beri varmış gibi ödül talep edecek şekilde manipüle etti ve tüm ödül havuzunu boşalttı. Temel borç verme ve borç alma havuzları etkilenmedi.
Saldırı, değişmez ve modası geçmiş akıllı sözleşmelerin unutulmuş saldırı yüzeyleri haline gelebildiği DeFi sektöründeki kalıcı bir savunmasızlığın altını çiziyor. Bu olay, Sui üzerindeki Volo Protocol'de gerçekleşen benzer bir 3,5 milyon dolarlık açığı takip ediyor ve DeFi saldırılarının halihazırda 600 milyon doları aştığı bir aya katkıda bulunarak, sektör genelinde blok zinciri kodunun denetimi ve yaşam döngüsü yönetimi hakkında soru işaretleri yaratıyor.
6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL işlem karmasında yakalanan saldırı, Scallop'un ana borç verme altyapısını veya kullanıcı mevduatlarını tehlikeye atmadı. Ekip, etkilenen sözleşmeyi UTC 12:50'de dondurdu ve 14:42'ye kadar tüm hizmetleri geri yükledi.
Bağımsız analizler, hatanın eski sözleşmenin saldırganın yeni stake'ine sanki 20 aydır ödül kazanıyormuş gibi davranmasından kaynaklandığını ortaya koydu. Bu, istismarcının orantısız miktarda ödül talep etmesine ve bunları havuzda tutulan 150.000 SUI ile takas etmesine olanak tanıdı. Olay, eski, kullanılmayan ancak hala çağrılabilir sözleşmeleri zincir üzerinde aktif bırakmanın risklerine dikkat çekti; bu durum, Sui gibi değişmez blok zincirleri için özel bir zorluktur.
Scallop olayı, yine bir çevre sözleşmesini içeren Volo Protocol'deki son 3,5 milyon dolarlık kayıp da dahil olmak üzere, Sui ağındaki bir dizi saldırının sonuncusudur. Nisan 2026, DeFi güvenliği için acımasız bir ay oldu ve 13 olayda hack kaynaklı toplam kayıplar 606 milyon doları aştı. Bu durum, Nisan ayını DeFi güvenliği için en kötü aylardan biri olma yoluna sokarak, Aave'deki 292 milyon dolarlık Kelp DAO depeg olayı gibi büyük olayları akıllara getiriyor.
Saldırının ardından saldırganın Scallop ekibiyle temasa geçerek beyaz şapkalı ödülü karşılığında çalınan fonların %80'ini iade etmeyi teklif ettiği bildirildi. Ekip ayrıca, OtterSec ve MoveBit dahil olmak üzere firmalar tarafından yapılan önceki güvenlik denetimlerine rağmen güvenlik açığının nasıl gözden kaçtığını inceliyor. Ne Sui Vakfı ne de Mysten Labs konuyla ilgili kamuoyuna bir açıklama yapmadı.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
