Scallop fror Verträge ein, nachdem ein Hacker 150.000 SUI aus einem veralteten sSUI-Belohnungspool abgezogen hatte. Die Kernbestände blieben sicher. Das Protokoll versprach eine vollständige Rückerstattung.
Die Verträge wurden eingefroren, bevor die meisten Nutzer überhaupt etwas bemerkten.
Scallop, ein Kreditprotokoll auf der Sui-Blockchain, meldete einen Sicherheitsvorfall, nachdem ein Angreifer etwa 150.000 SUI aus einem Nebenvertrag abgezogen hatte, der mit seinem sSUI-Spool-Belohnungspool verbunden war. Das Protokoll bestätigte den Vorfall auf X und erklärte, der betroffene Vertrag sei sofort eingefroren worden. Die Kernverträge, so das Team, seien nicht betroffen gewesen.
Ein alter Vertrag. Echtes Geld weg.
Der Exploit zielte auf einen von Scallop später als veraltet beschriebenen Belohnungsvertrag ab. Nicht auf das Hauptprotokoll. Nicht auf die Einzahlungsvaults der Nutzer. Ein übrig gebliebenes Infrastrukturteil, das offenbar immer noch Wert besaß.
Laut @Scallop_io auf X wurde der betroffene Vertrag eingefroren, sobald der Vorfall identifiziert wurde. Das Team bestätigte, dass nur der sSUI-Belohnungspool getroffen wurde. Alle anderen Pools blieben während des gesamten Zeitraums betriebsbereit.
Die Höhe des Verlustes liegt bei etwa 150.000 SUI. Bei den aktuellen Marktpreisen ist diese Summe nicht trivial.
Protokoll wieder online, aber Fragen bleiben
Stunden nach dem ersten Einfrieren veröffentlichte Scallop ein Update. Wie @Scallop_io auf X twitterte, wurden die Kernverträge wieder freigegeben und alle Operationen wieder aufgenommen. Abhebungen und Einzahlungen waren wieder verfügbar. Das Team stellte klar, dass der Vorfall in keinem Zusammenhang mit dem Kernprotokoll stand und sich vollständig auf den veralteten Belohnungsvertrag beschränkte.
Die Einzahlungen der Nutzer seien laut Ankündigung niemals gefährdet gewesen. Das Team fügte hinzu, dass es im Laufe der weiteren Ermittlungen weitere technische Details veröffentlichen werde.
Scallop versprach, den Verlust zu hundert Prozent zu decken. Keine teilweise Rückerstattung. Der volle Betrag.
Ein Muster, das sich auf Sui wiederholt
Dies ist nicht das erste Mal, dass ein DeFi-Protokoll auf Sui nach einem Exploit den Betrieb eingestellt hat. Erst wenige Tage zuvor verlor das Volo-Protokoll 3,5 Millionen Dollar bei einem separaten Sicherheitsvorfall, wobei drei Vaults geleert wurden, bevor das Team eingreifen konnte. Die Verluste auf DeFi-Plattformen im April sollen Schätzungen zufolge 600 Millionen Dollar übersteigen.
Der Scallop-Vorfall passt zu einem Muster, das Sicherheitsforscher wiederholt gemeldet haben. Veraltete Verträge, die noch Guthaben aufweisen, aber nicht mehr aktiv überwacht werden. Der Angreifer fand in diesem Fall genau das.
Scallop erklärte, das Protokoll weiterhin zu überwachen und es in Zukunft zu stärken. Laut dem X-Post wurden zum Zeitpunkt der Erstellung dieses Berichts keine weiteren Anomalien festgestellt.
Schreibe einen Kommentar