Sui Network децентрализованный кредитный протокол Scallop 26 апреля (в воскресенье) через платформу X опубликовал официальное объявление, подтвердив, что подвергся атаке через уязвимость: злоумышленник извлёк около 150,000 SUI из заброшенного контрактa вознаграждений, связанного с sSUI spool. Согласно официальному заявлению, основной пул капитала и пользовательские депозиты не пострадали; протокол восстановил снятие и пополнение, и подтверждено, что все потери будут компенсированы в полном объёме за счёт средств компании.
Хронология события и официальная реакция Scallop
Согласно сообщению Scallop на официальной X-платформе (26 апреля 12:50 UTC), целью атаки стал вспомогательный контракт вознаграждений sSUI spool — это стимулирующий слой протокола для участников, вносящих депозиты в SUI, а не логика основного кредитования. Команда Scallop заморозила затронутые контракты в течение нескольких минут после инцидента; основной контракт был заморожен до разблокировки в течение двух часов, а снятие и пополнение возобновились в 14:42 UTC.
В официальном заявлении Scallop говорится: «Scallop полностью компенсирует 100% потерь».
Технический анализ уязвимости: неинициализированный счётчик из заброшенного пакета за 2023 год
(Источник:Vadim)
Согласно независимому on-chain анализу, точкой входа для атаки стал заброшенный V2 spool-пакет, развернутый Scallop в ноябре 2023 года; с момента возникновения этой атаки прошло более 17 месяцев. В технической архитектуре Sui Network развернутые пакеты изменить нельзя; если явно не настроен контроль версий, старые версии всё ещё могут вызываться.
Злоумышленник обнаружил в пакете неинициализированный счётчик last_index. Этот счётчик используется для отслеживания накопленных наград стейкеров. Злоумышленник поставил около 136,000 sSUI, а система расценила эту позицию как существующую с тех пор, как spool был запущен в августе 2023 года. После примерно 20 месяцев экспоненциального накопления индекс spool вырос до примерно 1.19 миллиарда, в результате злоумышленник получил около 162 трлн наградных баллов и обменял их в соотношении 1:1 на 150,000 SUI.
On-chain записи транзакций можно запросить по хэшу: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Недавние инциденты с уязвимостями в Sui DeFi
Согласно публичным сообщениям, в начале апреля 2026 года на Sui Network произошла схожая атака на протокол Volo: целью также стали вспомогательные контракты, а не логика основной части протокола, потери составили около 3.5 млн долларов. Кроме того, за неделю до инцидента в сети Ethereum произошло событие, связанное с мостовой атакой: было украдено около 2.92 млрд долларов безобеспеченной токенизированной повторной закладки ликвидности.
По состоянию на момент публикации этого материала Sui Foundation и Mysten Labs не сделали публичных заявлений по инциденту Scallop. Согласно официальному описанию Scallop, протокол планирует провести полный аудит всех существующих старых версий пакетов; сроки аудита пока не определены.
Часто задаваемые вопросы
Каково время возникновения этой уязвимости и масштаб потерь?
Согласно официальному объявлению Scallop на X-платформе, атака произошла 26 апреля 2026 года (в воскресенье) в 12:50 UTC: злоумышленник извлёк около 150,000 SUI из заброшенного контракта вознаграждений sSUI spool. Основной пул средств для кредитования и депозиты пользователей на других рынках не пострадали.
Какие официальные обязательства Scallop принял в связи с этой атакой?
Согласно официальному заявлению Scallop, протокол заморозил затронутые контракты в течение нескольких минут после атаки и восстановил полную функциональность всех операций в 14:42 UTC (примерно через два часа после публикации объявления). Scallop подтверждает, что все потери будут полностью компенсированы за счёт средств компании, что доходы пользователей не пострадают, и что протокол планирует провести полный аудит всех существующих старых версий пакетов.
В чём заключалась основная техническая причина этой уязвимости и как она связана с технической архитектурой Sui Network?
Согласно независимому on-chain анализу, уязвимость возникла из неинициализированного счётчика last_index в заброшенном V2 spool-пакете, развернутом в ноябре 2023 года. В Sui Network развернутые пакеты неизменяемы; если явно не настроен контроль версий, старые версии всё ещё могут вызываться, что позволило злоумышленнику использовать заброшенный код более чем 17-месячной давности для извлечения 150,000 SUI.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Western Union Remittance Q1 отчет о прибылях и убытках: подтверждено собрание акционеров. Стабильная монета USDPT будет запущена в начале мая
Согласно содержанию телефонной конференции по итогам 1-го квартала Western Union, состоявшейся 24 апреля, президент и генеральный директор Western Union Девин МакГранахан (Devin McGranahan) подтвердил, что стейблкоин компании USDPT в настоящее время находится на финальном этапе подготовки и, как ожидается, будет официально запущен в мае.
MarketWhisper4м назад
Сунь Юйчэнь называет TRON первой в мире сетью, устойчивой к квантовым атакам; ввод в эксплуатацию основной сети в 3-м квартале 2026 года
Основатель TRON Сунь Цзюньчэнь 26 апреля опубликовал в X пост, объявив, что TRON планирует во втором квартале включить функцию защиты от квантовых атак в тестовой сети, а запуск в основной сети запланирован на третий квартал; в сообщении Сунь Цзюньчэнь назвал этот план обновления «первой в мире сетью, устойчивой к квантовым атакам». Хотя квантовая угроза в настоящее время в основном остается на уровне теории, Ethereum, Solana и другие уже опубликовали планы или сроки обновлений по постквантовой криптографии (PQC).
MarketWhisper11м назад
DeFi United собрало более 10,2 万 ETH, AAVE восстановился до 100 долларов
Согласно официальной странице DeFi United, инициированный поставщиком услуг Aave многосторонний фонд многоплатформенного урегулирования DeFi United по состоянию на 27 апреля уже собрал более 10,2 тыс. ETH, с целью покрыть недостачу по безнадежным долгам, возникшую на рынке Aave V3 после инцидента с атакой на кроссчейн-мост Kelp DAO 18 апреля. После кратковременного прорыва AAVE выше 100 долларов последовал откат.
MarketWhisper55м назад
DPoS-мейннет Vcitychain запущен с саморазработанной системой консенсуса
Сообщение Gate News от 27 апреля — Vcitychain, коммерческого уровня блокчейн, официально запустила свой DPoS-мейннет сегодня, перейдя на собственной разработки систему консенсуса Delegated Proof of Stake (DPoS).
Обновление направлено на повышение производительности сети, увеличение децентрализации и улучшение прозрачности ончейн-управления. Vcitychain
GateNews1ч назад
ApeCoin передает управление игрой сообществу по мере завершения сезона Blackbeard's Bounty 3
Сообщение Gate News, 27 апреля — ApeCoin объявил, что сезон квестов Blackbeard's Bounty официально завершен, хотя возможность для пользователей создавать и выполнять задания за вознаграждение останется активной. По мере завершения сезона управление игрой передается сообществу, при этом направления дальнейшей разработки будут определяться игроками.
GateNews1ч назад
Экосистема FLOA запускает комплект ИИ FloaClaw с многостадийной матрицей навыков
Сообщение Gate News, 27 апреля — экосистема FLOA официально запустила FloaClaw, свою ключевую ИИ-платформу, с многостадийной матрицей ИИ-навыков. Доступ к функциям FloaClaw ограничен пользователями Agent уровня 3 и выше.
FloaClaw работает по токенизированной модели, в которой пользователи приобретают токены вычислительной мощности BNB-backed для использования [AI skills]https://www.gate.com/zh/skills-hub, с масштабированием потребления в зависимости от сложности задач. Платформа планирует постоянно расширяться новыми ИИ-навыками и модулями инструментов. Также FLOA представит систему распределения доходов для создателей, позволяющую создателям Agent получать долю токенов вычислительной мощности от потребления пользователями навыков, с поддержкой вывода BNB в один клик, чтобы сформировать устойчивую экономику создателей.
FLOA — это интеллектуальная платформа экосистемы Web3 Agent, построенная на BNB Chain, которая объединяет возможности аналитики данных и автоматизации в ончейне с открытым механизмом поощрений, призванным дать пользователям больше возможностей и стимулировать рост экосистемы.
GateNews1ч назад
