Scallop, ein Geldmarkt auf dem Sui Netzwerk, hat am Sonntag etwa 150.000 SUI verloren, nachdem ein Angreifer einen veralteten Rewards-Contract im Zusammenhang mit dem sSUI-Spool des Protokolls geleert hat.
Das Team hat den betroffenen Contract innerhalb weniger Minuten eingefroren und eine vollständige Erstattung aus der eigenen Treasury zugesagt. Die Kernfunktionen wurden nach weniger als zwei Stunden wiederhergestellt.
Erneuter Sui-Angriff betrifft Nebencode, nicht das Hauptprotokoll
Scallop hat den Vorfall am 26. April um 12:50 UTC über eine öffentliche Mitteilung auf X bekannt gemacht. Der Angreifer hat einen Nebenvertrag angegriffen, der für die Rewards im sSUI-Spool zuständig ist. Dieser Spool stellt die Anreizschicht für SUI-Einleger dar.
Laut dem Team wurde der betroffene Contract sofort eingefroren. Die zentralen Kredit- und Leihpools blieben unangetastet. Benutzer-Einlagen waren in allen anderen Scallop-Märkten sicher.
Zwei Stunden später bestätigte Scallop, dass die Kernverträge wieder freigegeben wurden. Abhebungen und Einzahlungen waren ab 14:42 UTC wieder möglich.
Die meisten Nutzer auf dem Sui Netzwerk blieben von den Ereignissen am Morgen unberührt.
„Scallop wird 100% des Verlustes vollständig übernehmen”, teilte der Geldmarkt mit.
Veralteter Package-Code aus 2023 ermöglichte den Angriff
Unabhängige On-Chain-Analysen zeigen, dass ein veraltetes V2-Spool-Paket als Einstiegspunkt diente. Scallop hatte den Code im November 2023 veröffentlicht, also mehr als 17 Monate vor dem Angriff. Auf Sui sind bereitgestellte Pakete unveränderlich. Alte Versionen bleiben aufrufbar, wenn sie nicht explizit durch Versionsprüfungen gesichert werden.
Der Fehler bezog sich auf einen nicht initialisierten last_index-Zähler, der akkumulierte Rewards für Staker erfasst. Der Angreifer hinterlegte rund 136.000 sSUI, um dies auszunutzen.
Die Rechenlogik behandelte die Position so, als bestünde sie bereits seit dem Start des Spools im August 2023.
Der Spool-Index war in 20 Monaten auf etwa 1,19 Milliarden gestiegen. Dadurch konnte der Angreifer rund 162 Billionen Reward-Punkte einlösen. Dies entsprach eins zu eins 150.000 SUI aus dem Rewards-Pool.
Der Transaktions-Hash 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL dokumentiert auf der Blockchain den Abfluss.
Ein bekanntes Muster im Sui-DeFi
Der Vorfall folgt einer Serie von Sui-Angriffen in den vergangenen Wochen. Anfang dieses Monats verlor das Volo Protocol rund 3,5 Millionen USD bei einem ähnlichen Angriff auf einen Nebenvertrag. In allen Fällen traf es Nebencodes, nicht die Kernlogik des Protokolls.
Er ereignete sich zudem eine Woche nach einem schweren Bridge-Vorfall auf Ethereum, durch den ungefähr 292 Millionen USD in nicht durch Vermögenswerte gedeckten Restaking-Token entstanden. Beide Angriffe fanden an Wochenenden statt, wenn die Liquidität gering ist und Reaktionszeiten sich verzögern können.
Weder die Sui Foundation noch Mysten Labs haben bisher eine Stellungnahme dazu abgegeben.
Für Scallop scheint der finanzielle Schaden jedoch begrenzt. Das Protokoll bestätigte, dass der gesamte Verlust übernommen und die Nutzer-Rendite nicht verwässert wird.
Ein vollständiger Bericht wurde vom Team noch nicht veröffentlicht. Ein kompletter Audit aller verbleibenden älteren Pakete soll vermutlich das weitere Vorgehen im Sui-DeFi beeinflussen.
Die grundsätzliche Frage ist, wie Entwickler auf Sui künftig mit unveränderlichem Code und übersehenen Angriffsflächen umgehen sollten.
