Scallop Protocol auf Sui von Flash-Loan-Angriff getroffen, $142K Ausgesaugt durch Oracle-Manipulation

Gate News-Meldung, 26. April — Scallop Protocol, eine Kreditplattform auf der Sui-Blockchain, erlitt einen Flash-Loan-Exploit, der auf einen veralteten Side-Contract abzielte, der mit seinem sSUI-Rewards-Pool verknüpft ist, was zu einem Verlust von ungefähr $142,000 (150,000 SUI) führte. Der Angriff nutzte die Manipulation des Oracle-Preisfeeds, um die SUI/USDC-Kurswechsel künstlich zu drücken und Vermögenswerte zu verzerrten Preisen zu leihen, wobei der Angreifer den Flash-Loan innerhalb derselben Transaktion zurückzahlte und die Differenz einsteckte.

Das Kernproblem ging auf einen veralteten V2-Contract zurück, der im November 2023 bereitgestellt wurde und on-chain weiterhin aufrufbar blieb. In diesem veralteten Contract wurde eine kritische Variable namens "last_index" beim Erstellen neuer Konten nie initialisiert. Dieser Fehler ermöglichte dem Angreifer, Rewards einzufordern, als hätte er seit der Einführung des Pools gestaket. Da der Reward-Index über 20 Monate auf 1,19 Milliarden angewachsen war, stakete der Angreifer 136.000 sSUI, erhielt jedoch 162 Billionen Punkte gutgeschrieben. Da der Rewards-Pool mit einem 1:1-Umrechnungskurs lief, wurden diese Punkte direkt in 162.000 SUI an Rewards umgewandelt. Der Pool enthielt nur 150.000 SUI, und alle Mittel wurden abgezogen. On-chain-Daten zeigen, dass die gestohlenen Gelder schnell über einen Mixing-Dienst geleitet wurden, was die Wiederherstellung erschwert.

Das Team von Scallop reagierte, indem es die Abläufe vorübergehend pausierte, bevor es die Kern-Contracts wieder freischaltete und alle Operationen wieder aufnahm. Das Protokoll bestätigte, dass der Exploit auf den veralteten Rewards-Contract isoliert war und weder das Kernprotokoll noch die Einzahlungen der Nutzer betraf, wobei alle Mittel sicher blieben. Der Angreifer kontaktierte das Team anschließend und bot an, 80% der gestohlenen Mittel im Austausch gegen eine White-Hat-Bounty zurückzugeben, und der Vorfall wird nun untersucht. Das Team wird prüfen, wie der Fehler bei früheren Audits durch Firmen einschließlich OtherSec und MoveBit nicht erkannt wurde.

Der SUI-Preis blieb nach dem Exploit robust und stieg ungefähr 2% in den 24 Stunden nach dem Angriff, während er bei $0.94 gehandelt wurde, mit einem täglichen Handelsvolumen von rund $187 million. Der Vorfall spiegelt einen breiteren Trend im April 2026 wider, bei dem große DeFi-Exploits auf veraltete Contracts und Infrastruktur-Ebenen statt auf die Logik des Kernprotokolls abzielten, wobei die kumulierten Verluste $600 million über 12 große Vorfälle im Laufe des Monats überstiegen.