Scallop, Sui Network पर एक मनी मार्केट है, जिसे रविवार को करीब 150,000 SUI का नुकसान हुआ जब एक हमलावर ने प्रोटोकॉल के sSUI स्पूल से जुड़े एक डिप्रीकेटेड रिवॉर्ड्स कॉन्ट्रैक्ट को ड्रेन कर दिया।
टीम ने कुछ ही मिनटों में प्रभावित कॉन्ट्रैक्ट को फ्रीज़ कर दिया और अपने ट्रेजरी से पूरी राशि वापस देने का वादा किया। मुख्य ऑपरेशंस दो घंटे से भी कम समय में फिर से शुरू हो गए।
Sui पर एक और एक्सप्लॉइट: कोर प्रोटोकॉल नहीं, साइड कोड निशाने पर
Scallop ने 26 अप्रैल को 12:50 UTC पर X पर पब्लिक नोटिस से इस घटना की जानकारी दी। हमलावर ने sSUI स्पूल के रिवॉर्ड्स पावरिंग एक साइड कॉन्ट्रैक्ट को टारगेट किया। यही स्पूल SUI डिपॉजिटर्स के लिए प्रोटोकॉल की इंसेंटिव लेयर है।
टीम के मुताबिक, प्रभावित कॉन्ट्रैक्ट तुरंत फ्रीज़ कर दिया गया। कोर लेंडिंग और बॉरोइंग पूल्स को कोई नुकसान नहीं हुआ। Scallop के बाकी सभी मार्केट्स में यूजर्स की जमा राशि सुरक्षित रही।
दो घंटे बाद, Scallop ने कोर कॉन्ट्रैक्ट पर फ्रीज़ हटाने की पुष्टि की। 14:42 UTC पर विदड्रॉअल और डिपॉजिट फिर शुरू कर दिए गए।
ज्यादातर यूजर्स Sui नेटवर्क पर इस घटना से प्रभावित नहीं हुए।
“Scallop 100% नुकसान की भरपाई पूरी तरह करेगा,” मनी मार्केट ने कहा।
2023 का पुराना पैकेज कोड बना एक्सप्लॉइट की वजह
इंडिपेंडेंट ऑन-चेन एनालिसिस से पता चलता है कि इस घटनाक्रम की जड़ एक डिप्रीकेटेड V2 स्पूल पैकेज है। Scallop ने यह कोड नवंबर 2023 में पब्लिश किया था, यानी हमले से सत्रह महीने पहले। Sui पर डिप्लॉय किए गए पैकेज इम्यूटेबल होते हैं। पुराने वर्शन तब तक इस्तेमाल किए जा सकते हैं, जब तक उन्हें खासतौर पर वर्शन-गेट नहीं किया जाता।
बग की वजह एक अनइनिशियलाइज्ड last_index काउंटर था, जो स्टेकर्स के लिए जमा रिवॉर्ड्स ट्रैक करता है। हमलावर ने लगभग 1,36,000 sSUI स्टेक करके इस बग का फायदा उठाया।
यह ने गणना ऐसे की जैसे उसकी पोजिशन अगस्त 2023 में स्पूल लॉन्च होने से ही मौजूद रही हो।
स्पूल इंडेक्स 20 महीनों में करीब 1.19 बिलियन तक पहुँच गया था। इससे एक्सप्लॉइटर करीब 162 ट्रिलियन रिवॉर्ड पॉइंट्स निकाल सका। इन्हें 150,000 SUI के बराबर रिवॉर्ड्स पूल से एक-टू-वन रिडीम किया गया।
ट्रांजेक्शन हैश 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL ऑन-चेन ड्रेन का सबूत है।
Sui DeFi में दिखा बार-बार होता पैटर्न
पिछले हफ्तों में Sui पर ऐसी कई एक्सप्लॉइट्स हुई हैं। इसी महीने Volo Protocol ने करीब $3.5 मिलियन खोए, वो भी एक साइड कॉन्ट्रैक्ट इश्यू में। हर मामले में कोर प्रोटोकॉल लॉजिक की जगह साइड कॉन्ट्रैक्ट्स को निशाना बनाया गया।
यह घटना Ethereum पर एक बड़े ब्रिज incident के ठीक एक हफ्ते बाद सामने आई है, जिसमें लगभग $292 मिलियन के बिना किसी backing के liquid restaking tokens बनाए गए। दोनों ही अटैक वीकेंड में हुए, जब liquidity कम होती है और response टाइम भी स्लो हो जाता है।
ना ही Sui Foundation और ना ही Mysten Labs ने अभी तक इस मुद्दे पर कोई पब्लिक स्टेटमेंट दिया है।
लेकिन Scallop के लिए, फाइनेंशियल नुकसान काफी लिमिटेड लगता है। प्रोटोकॉल ने कन्फर्म किया है कि यह पूरा नुकसान खुद absorb करेगा और यूजर्स की yields कम नहीं होने देगा।
टीम ने अभी तक पूरा post-mortem रिलीज़ नहीं किया है। अगर हर बचे हुए legacy package का पूरा ऑडिट पब्लिश किया जाता है, तो यह Sui DeFi कम्युनिटी के broader response को काफी हद तक shape करेगा।
अब बड़ा सवाल यह है कि Sui के builders को immutable code और भूले हुए attack surfaces को कैसे मैनेज करना चाहिए।
