Scallop, een geldmarkt op Sui Network, verloor zondag ongeveer 150.000 SUI nadat een aanvaller een verouderd beloningscontract leeg trok dat verbonden was aan de sSUI-spool van het protocol.
Het team bevroor binnen enkele minuten het getroffen contract en beloofde volledige compensatie vanuit zijn treasury. De kernactiviteiten gingen binnen twee uur weer verder.
Nog een Sui-exploit treft randcode, niet het kernprotocol
Scallop maakte het incident bekend op 26 april om 12:50 UTC via een openbare melding op X. De aanvaller richtte zich op een nevencontract dat de beloningen voor de sSUI-spool regelt. Deze spool is de beloningslaag voor SUI-inleggers binnen het protocol.
Volgens het team werd het getroffen contract meteen bevroren. De kernleningen- en leenpools bleven onaangetast. De tegoeden van gebruikers waren veilig op alle andere markten van Scallop.
Twee uur later bevestigde Scallop dat de bevriezing van de kerncontracten was opgeheven. Opnames en stortingen konden weer plaatsvinden om 14:42 UTC.
De meeste gebruikers op het Sui Network merkten niets van het incident in de ochtend.
“Scallop zal 100% van het verlies volledig vergoeden,” meldde de geldmarkt.
Verouderde pakketcode uit 2023 lag aan de basis van de exploit
Onafhankelijke on-chain analyse wijst een verouderd V2-spoolpakket aan als ingangspunt. Scallop publiceerde deze code in november 2023, ruim 17 maanden voor de aanval. Op Sui zijn gedeployde pakketten onveranderlijk. Oude versies blijven oproepbaar, tenzij ze specifiek worden afgeschermd voor versies.
De bug draaide om een niet-geïnitialiseerde last_index teller, die opgebouwde beloningen voor stakers bijhoudt. De aanvaller zette ongeveer 136.000 sSUI in om hiervan te profiteren.
Deze rekenmethode ging ervan uit dat de positie al bestond vanaf het moment dat de spool in augustus 2023 werd gelanceerd.
De spool-index was in 20 maanden gegroeid tot zo’n 1,19 miljard. Hierdoor kon de aanvaller circa 162 biljoen beloningspunten oogsten. Deze werden één-op-één omgewisseld voor 150.000 SUI uit de beloningspool.
De transactiehash 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL toont het on-chain bewijs van de leegtrekking.
Een bekend patroon in Sui DeFi
Dit incident volgt op een reeks Sui-exploits in de afgelopen weken. Volo Protocol verloor eerder deze maand ongeveer $3,5 miljoen bij een soortgelijke aanval op randsoftware. Telkens werden nevencontracten aangevallen en niet de kern van het protocol zelf.
Dit gebeurde ook een week na een groot bridge-incident op Ethereum, waarbij ongeveer $292 miljoen aan niet-gedekte liquid restaking tokens ontstond. Beide aanvallen vonden plaats in het weekend, wanneer de liquiditeit laag is en reacties vaak trager komen.
Zowel Sui Foundation als Mysten Labs heeft hierover geen publiekelijke verklaring afgelegd.
Voor Scallop lijkt de financiële schade echter beperkt. Het protocol bevestigde dat het het volledige verlies absorbeert zonder dat dit invloed heeft op de opbrengsten van gebruikers.
Het team heeft nog geen volledig onderzoeksrapport gedeeld. Waarschijnlijk zal een komende audit van alle overgebleven oude pakketten de bredere Sui DeFi-reactie bepalen.
De diepere vraag is hoe Sui-ontwikkelaars om moeten gaan met onveranderlijke code en vergeten aanvalsmogelijkheden.
