Протокол кредитования и заимствования Scallop, работающий на блокчейне Sui, 26 апреля 2026 года столкнулся с атакой на устаревший побочный контракт системы вознаграждений sSUI. Утечка составила 150 000 токенов SUI, что на момент атаки оценивалось в $525 000 (по другим данным порядка $142 000 в пересчете по курсу). Злоумышленник смог вывести всю сумму из пула наград в рамках смарт-контракта, опубликованного в ноябре 2023 года (V2 spool).
Причина уязвимости
По данным команды Scallop, атака стала возможна из-за неинициализированной переменной last_index в логике распределения бонусов. При создании нового аккаунта показатель не устанавливался, в результате взломщик смог застейкать около 136 тыс. sSUI и получить доступ к накопленным за 20 месяцев наградам. Индекс пула вырос до 1,19 млрд, что позволяло «присвоить» себе порядка 162 трлн поинтов — при курсе обмена один к одному контракт и опустошил фонд в размере 150 000 SUI единой транзакцией.
Реакция протокола
Разработчики оперативно заблокировали повреждённый контракт и в течение двух часов восстановили работу ядра протокола: депозиты и снятие средств возобновились, а основные ликвидные пулы затронуты не были. Scallop публично подтвердил, что полностью возместит потери всем пострадавшим пользователям из собственного резерва, без размытия доходности до вкладчиков. Казначейство протокола покрывает как 525 000, так и указанную меньшую сумму — речь идёт об одной утечке.
Переговоры с хакером и последствия
Сразу после атаки злоумышленник предложил вернуть 80% активов в обмен на белое вознаграждение (white‑hat bounty). Команда Scallop в настоящее время проводит детальный анализ, взаимодействуя с партнёрами по безопасности. Обсуждается дополнительный аудит всей линейки легаси‑смарт‑контрактов. Попытки отмывания части средств через Sui‑миксер (аналог Tornado Cash) осложняют возврат, но сам прецедент, по мнению участников рынка, укрепит доверие к Scallop, выбравшему путь абсолютной ответственности за активы пользователей.
Контекст апреля 2026 года
По данным CoinCentral, только в апреле совокупный ущерб DeFi от 12 крупных инцидентов превысил $600–750 млн. Случай Scallop идёт следом за атакой на протокол Volo ($3,5 млн), что подтверждает тенденцию к эксплуатации периферийных контрактов вместо базовой логики. Крупнейшие эпизоды зафиксированы у Kelp DAO (породивший $177 млн «безнадёжного долга» на Aave) и Drift Protocol.
