Scallop, un money market su Sui Network, ha perso circa 150.000 SUI domenica dopo che un attaccante ha prosciugato un contratto ricompense deprecato legato allo spool sSUI del protocollo.
Il team ha bloccato il contratto interessato in pochi minuti e ha promesso un rimborso completo dal proprio treasury. Le operazioni principali sono riprese in meno di due ore.
Un altro exploit su Sui colpisce il codice periferico, non il protocollo principale
Scallop ha reso noto l’incidente alle 12:50 UTC del 26 aprile attraverso un annuncio pubblico su X. L’attaccante ha preso di mira un contratto secondario che gestiva le ricompense per lo spool sSUI. Questo spool rappresenta lo strato d’incentivi per i depositanti di SUI nel protocollo.
Secondo il team, il contratto interessato è stato bloccato immediatamente. I pool principali di prestito e di prestito rimasti intatti. I depositi degli utenti sono rimasti al sicuro in tutti gli altri mercati di Scallop.
Due ore dopo, Scallop ha confermato che il blocco era stato rimosso dai contratti principali. I prelievi e i depositi sono ripresi alle 14:42 UTC.
La maggior parte degli utenti su Sui network non è stata coinvolta dagli eventi accaduti nella mattina.
“Scallop coprirà completamente il 100% della perdita,” ha spiegato il money market in un comunicato.
Un vecchio pacchetto del 2023 è all’origine dell’exploit
Analisi indipendenti on-chain indicano come punto di ingresso un pacchetto V2 deprecato dello spool. Scallop aveva pubblicato questo codice nel novembre 2023, più di 17 mesi prima dell’attacco. Su Sui, i pacchetti distribuiti sono immutabili. Le vecchie versioni restano accessibili salvo limitazioni esplicite sulle versioni.
Il bug era legato a un contatore last_index non inizializzato, che tiene traccia delle ricompense accumulate per chi effettua staking. L’attaccante ha messo in staking circa 136.000 sSUI per sfruttare la vulnerabilità.
Questo calcolo trattava la posizione come se fosse esistita fin dal lancio dello spool nell’agosto 2023.
L’indice dello spool era cresciuto fino a circa 1,19 miliardi in 20 mesi. Ciò ha permesso all’attaccante di raccogliere circa 162.000 miliardi di punti ricompensa. Tali punti sono stati riscattati uno a uno per 150.000 SUI dal pool ricompense.
L’hash della transazione 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL rappresenta la prova on-chain del prosciugamento.
Uno schema ormai noto tra le DeFi di Sui
L’episodio segue una serie di exploit su Sui nelle ultime settimane. Volo Protocol ha perso circa 3,5 milioni di dollari a inizio mese in un incidente periferico simile. In ogni caso, sono stati presi di mira contratti secondari e non la logica principale del protocollo.
L’incidente arriva inoltre a una settimana da un grave episodio su un bridge su Ethereum, che ha generato circa 292 milioni di dollari in token restaking liquidi non garantiti. Entrambi gli attacchi sono avvenuti durante il fine settimana, quando la liquidità è bassa e i tempi di risposta possono allungarsi.
Né la Sui Foundation né Mysten Labs hanno rilasciato dichiarazioni pubbliche sulla vicenda.
Per Scallop, comunque, il danno finanziario sembra contenuto. Il protocollo ha confermato che assorbirà l’intera perdita senza ridurre i rendimenti degli utenti.
Il team non ha ancora pubblicato un vero post-mortem: una futura pubblicazione di un audit completo su tutti i pacchetti legacy ancora presenti potrebbe determinare la risposta complessiva della DeFi su Sui.
La questione più profonda è: come dovrebbero gestire i builder di Sui codice immutabile e superfici d’attacco ormai dimenticate?
