Ang Scallop, isang money market sa Sui Network, nabawasan ng nasa 150,000 SUI nitong Linggo matapos ma-exploit ang luma nang rewards contract na konektado sa sSUI spool ng protocol nila.
Na-freeze agad ng team ang apektadong contract at nangakong ibabalik nang buo ang nalugi mula mismo sa kanilang treasury. Nakatuloy agad ang normal na operations ng Scallop sa loob lang ng halos dalawang oras.
Isa Na Namang Sui Exploit: Peripheral Contract ang Tinatamaan, Hindi Yung Pinaka-Core Protocol
In-announce ng Scallop sa publiko ang insidente nung 12:50 UTC noong April 26 via notice sa X. Target ng attacker ang side contract na nagbibigay ng rewards para sa sSUI spool, kung saan ito yung incentive layer para sa mga nagde-deposit ng SUI.
Sabi ng team, agad nilang na-freeze ang apektadong contract. Walang nadamay sa core lending at borrowing pools, secure pa rin ang mga deposit ng users sa lahat ng ibang Scallop market.
Makaraan ng dalawang oras, kinumpirma ng Scallop na na-lift na ang freeze sa core contracts nila. Nagbalik-operasyon na uli ang withdrawals at deposits nitong 14:42 UTC.
Karamihan sa mga user sa Sui network hindi naapektuhan ng nangyari nung umaga.
“Sagot ng Scallop ang 100% ng nalugi,” ayon mismo sa money market na ito sa official X nila.
Luma at Naiwang Package Code Mula 2023, Buhay Pa Rin at Na-exploit
Ayon sa analysis ng ilang independent on-chain researcher, galing ang exploit sa isang deprecated na V2 spool package. Inilabas pa ng Scallop ang code na ’to noong November 2023, mahigit 17 buwan bago mangyari ang attack. Sa Sui, yung mga deployed na package ay hindi nababago o nade-delete — puwede pa ring tawagin ang mga luma nito hangga’t hindi sinarado mismo o ginawang bawal gamitin.
Ang issue ay galing sa uninitialized na last_index counter, na nagko-compute ng naipong rewards ng mga staker. Nag-stake ng mga 136,000 sSUI ang attacker para mag-take advantage ng bug na ito.
Dahil dito, tinrato ng system yung position na parang nag-exist na siya simula noong nag-launch ang spool noong August 2023.
Umabot na sa mga 1.19 billion ang spool index sa loob ng 20 buwan, kaya naging posible para sa attacker na mag-claim hanggang 162 trillion reward points. Na-redeem lahat ito ng one-to-one sa rewards pool kaya nakakuha siya ng 150,000 SUI.
Makikita sa transaction hash na 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL ang on-chain proof ng pag-drain ng pondo.
Paulit-Ulit ang Pattern ng Exploit sa Sui DeFi
Kasunod lang ito ng sunod-sunod na Sui exploits nitong mga nakaraang linggo. Ang Volo Protocol nga, nawalan ng nasa $3.5 milyon nitong simula ng buwan — peripheral contract din ang target, hindi yung main protocol logic. Halos pare-parehas ang sitwasyon, palaging side contract o auxiliary contract ang binabanatan.
Kaso nga lang, isang linggo lang ang nakaraan, may nangyaring major bridge exploit din sa Ethereum — nagkaroon ng $292 milyon na unbacked liquid restaking tokens. Sabado o Linggo rin nangyari ang parehong attack, kung saan manipis ang liquidity at delayed ang response ng mga dev at admin.
Wala pang statement rito ang Sui Foundation o Mysten Labs.
Sa Scallop, mukha namang contained ang damage, at kinumpirma nilang sila na ang sasalo sa buong lugi — walang bawas sa yield ng users.
Wala pang ibinibigay na detalye o full post-mortem ang team, pero malamang na maglabas sila ng kumpletong audit ng lahat ng natitirang legacy package, na puwedeng mag-set ng standard sa broader Sui DeFi response.
Mas malalim na tanong: papaano ba dapat mag-manage ang mga Sui builder ng mga code na hindi na mababago at ng mga attack surface na minsang nakakalimutan?
