Sui Network децентралізований кредитно-позичковий протокол Scallop 26 квітня (у неділю) через платформу X опублікував офіційне повідомлення, підтвердивши, що зазнав експлойтної атаки: зловмисник витягнув приблизно 150,000 SUI із покинутого контракту винагород, пов’язаного з sSUI spool. Згідно з офіційним оголошенням, основний пул коштів і депозити користувачів не постраждали. Протокол відновив можливість внесення та зняття коштів; підтверджено, що всі збитки буде повністю відшкодовано за рахунок корпоративних коштів.
Хронологія події та офіційна відповідь Scallop
Згідно з офіційним повідомленням Scallop у X-платформі (26 квітня 12:50 UTC), ціллю атаки були допоміжні контрактні винагороди sSUI spool. Цей контракт є рівнем винагород для користувачів, які роблять депозити в SUI, а не основною логікою кредитування протоколу. Команда Scallop за лічені хвилини після настання події заморозила контракти, на які вплинула атака; основний контракт було заморожено, а його розблокування відбулося протягом двох годин. Операції з виведення та поповнення відновилися о 14:42 UTC.
Офіційне повідомлення Scallop містить: «Scallop повністю компенсує 100% збитків».
Технічний аналіз уразливості: нен ініціалізований лічильник у покинутому пакеті за 2023 рік
(Джерело:Vadim)
Згідно з незалежним on-chain аналізом, точка входу для атаки — це покинутий пакет V2 spool, який Scallop розгорнув у листопаді 2023 року; до моменту цієї атаки минуло понад 17 місяців. У технічній архітектурі Sui Network розгорнуті пакети не можна змінювати; якщо явно не встановлено контроль версій, старі версії все ще можуть бути викликані.
Зловмисник виявив у пакеті нен ініціалізований лічильник last_index, який використовується для відстеження накопичених винагород стейкерів. Зловмисник застейкував приблизно 136,000 sSUI; система розцінила цю позицію як таку, що існувала з моменту запуску spool у серпні 2023 року. Після близько 20 місяців експоненційного накопичення індекс spool зріс до приблизно 1.19 мільярда, що дало зловмиснику приблизно 162 трлн винагородних балів, які у співвідношенні 1:1 були конвертовані у 150,000 SUI.
Записи on-chain транзакцій можна переглянути за хешем: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Запис про нещодавні уразливі події у Sui DeFi
Згідно з публічними повідомленнями, на початку квітня 2026 року у Sui Network сталася подібна атака на Volo Protocol: ціллю також були допоміжні контракти, а не основна логіка протоколу, збитки становили близько 3.5 млн доларів США. Крім того, приблизно за тиждень до атаки в мережі Ethereum сталася подія з атакою на міст: було викрадено токени з поновленим забезпеченням на беззаставній ліквідності приблизно на 292 млн доларів США.
На момент публікації цього матеріалу Sui Foundation і Mysten Labs не зробили публічних заяв щодо події Scallop. Відповідно до офіційних пояснень Scallop, протокол планує провести комплексний аудит усіх наявних старих версій пакетів; графік аудиту наразі визначається.
Поширені запитання
Коли відбулася ця уразлива атака і який був масштаб збитків?
Згідно з офіційним повідомленням Scallop у X-платформі, атака сталася 26 квітня 2026 року (у неділю) о 12:50 UTC: зловмисник витягнув приблизно 150,000 SUI із покинутого контракту винагород sSUI spool. Основний пул коштів для кредитування та депозити користувачів на інших ринках не зазнали впливу.
Які офіційні обіцянки Scallop дала щодо цієї атаки?
Згідно з офіційною заявою Scallop, протягом кількох хвилин після атаки було заморожено контракти, на які вплинула подія, а повну функціональність усіх операцій відновили о 14:42 UTC (приблизно через дві години після публікації оголошення). Scallop підтвердив, що всі збитки буде повністю компенсовано за рахунок корпоративних коштів, що на доходи користувачів це не вплине, і що протокол планує провести комплексний аудит усіх наявних старих версій пакетів.
У чому полягає корінна технічна причина цієї уразливості та як вона пов’язана з технічною архітектурою Sui Network?
Згідно з незалежним on-chain аналізом, уразливість виникла через нен ініціалізований лічильник last_index у покинутому пакеті V2 spool, який було розгорнуто в листопаді 2023 року. У Sui Network розгорнуті пакети є незмінними; якщо явно не встановлено контроль версій, старі версії все ще можуть бути викликані, що дало змогу зловмиснику скористатися покинутим кодом понад 17 місяців тому й вилучити 150,000 SUI.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Solana обирає Falcon для постквантової криптографії, підготовка до міграції завершена
Повідомлення Gate News, 27 квітня — офіційна команда Solana опублікувала вичерпну дорожню карту з квантових обчислень, підтвердивши, що квантові загрози залишаються на відстані років, тоді як екосистема вже завершила масштабні дослідження та технічну підготовку.
Дві незалежні команди з розробки клієнтів валідаторів,
GateNews1год тому
Alphea запускає AI-орієнтований блокчейн рівня 1 із виконанням автономних агентів
Повідомлення Gate News, 27 квітня — Alphea, новий представлений блокчейн рівня 1, створений для інфраструктури ШІ, офіційно представила своє децентралізоване середовище виконання на Гонконгському Web3-фестивалі 2026. Платформа інтегрує виконання, персистентну пам’ять і верифіковані обчислення як
GateNews1год тому
Lise Завершує перше у світі токенізоване IPO на регульованій біржі
Повідомлення Gate News, 27 квітня — Lise (Lightning Stock Exchange), регульована біржа з базуванням у Парижі, закрила те, що описує як перше у світі первинне публічне розміщення (IPO), виконане на повністю регульованій, нативно токенізованій інфраструктурі ринків. ST GROUP, французьке промислове МСП, що постачає композитні матеріали для секторів оборони та авіакосмічної промисловості, стала першою компанією, яку внесли до лістингу, коли вікно підписки Lise відкрилося 9 квітня 2026.
Лістинг працював в межах єдиного інфраструктурного шару, де Lise поєднала ролі багатосторонньої торговельної площадки та центрального депозитарію цінних паперів. Емісія, зіставлення заявок і розрахунки відбувалися на одній системі в реальному часі, без лагу T+2 між виконанням угоди та її остаточністю. Розрахунки здійснювалися через регульовані токени депозитів, випущені ліцензованою банківською установою, що вперше дозволило торгівлю 24/7 на регульованій біржі.
Lise зазначила, що вибір ST GROUP токенізованої площадки замість біржі попереднього покоління демонструє, що сучасна ринкова інфраструктура може обслуговувати стратегічних емітентів, які історично залишалися поза увагою традиційних ринків. Генеральний директор Марк Кепенег'ян сказав: "Ми фундаментально трансформуємо те, як формується та торгується капітал. Це базовий крок у створенні більш ефективної, гнучкої та інклюзивної ринкової інфраструктури."
Лістинг відбувається після отримання Lise ліцензії на DLT Trading and Settlement System від ACPR Франції приблизно п’ять місяців тому в рамках пілотного режиму Distributed Ledger Technology ЄС. Lise є лише одним із шести суб’єктів, ліцензованих у межах режиму, і єдиною, що працює як повна фондова біржа. Біржа функціонує як дочірня компанія Kriptown за підтримки BNP Paribas, CACEIS і Bpifrance. Натомість як Nasdaq which filed a proposed SEC rule change in September 2025 та NYSE which announced a blockchain-based platform in January 2026 залишаються на стадії регуляторного розгляду.
GateNews1год тому
Кросчейн-мост Maple Finance перевищив $7B у загальному обсязі
Повідомлення Gate News, 27 квітня — Maple Finance оголосила в понеділок, що її кросчейн-мостом було оброблено понад $7 мільярдів у загальному обсязі, що є важливою віхою для протоколу.
Досягнення відображає зростання впровадження доларових дохідних активів Maple у кількох екосистемах блокчейну, d
GateNews1год тому
Контроверсія форку Bitcoin: план eCash націлений на приховані активи Сатоші
Нова пропозиція щодо хардфорка Bitcoin від розробника Пола Сзторца викликала жваві дебати в усьому криптоспівтоваристві. Запланований форк, який називається eCash, як очікується, буде запущений у серпні 2026 року та розподілятиме токени серед власників Bitcoin у співвідношенні 1:1. Однак ця пропозиція викликала критику через
CryptometerIo2год тому
Tether запускає Mining Development Kit (MDK), відкритий фреймворк для майнерів Bitcoin
Повідомлення Gate News, 27 квітня — Tether оголосила про запуск Mining Development Kit (MDK), відкритого програмного комплексу розробки повного стеку, призначеного для забезпечення уніфікованого контролю над усім рівнем інфраструктури для майнерів і розробників Bitcoin.
MDK має відкриту модульну архітектуру з
GateNews4год тому
