Sui Network üzerindeki para piyasası Scallop, pazar günü protokolün sSUI havuzuna bağlı, artık kullanılmayan bir ödül kontratının boşaltılmasıyla yaklaşık 150.000 SUI kaybediyor.
Ekip, etkilenen kontratı dakikalar içinde donduruyor ve zararlarının tamamının kendi hazinelerinden karşılanacağı sözünü veriyor. Temel operasyonlar, iki saatten kısa sürede yeniden başlatılıyor.
Kritik Olmayan Kodda Yeni Bir Sui Saldırısı: Ana Protokol Hedefte Değil
Scallop, olayı 26 Nisan saat 12.50’de X üzerinden yaptığı kamu duyurusuyla açıklıyor. Saldırgan, sSUI havuzu için ödülleri yöneten yan bir kontratı hedef alıyor. Bu havuz, SUI yatıranlar için protokolün teşvik mekanizması olarak öne çıkıyor.
Ekipten gelen bilgiye göre etkilenen kontrat hemen donduruluyor. Temel lending ve borçlanma havuzlarında ise hiçbir değişiklik olmuyor. Scallop’taki diğer tüm piyasalarda kullanıcıların varlıkları güvende kalıyor.
İki saat sonra Scallop, ana kontratlar üzerindeki dondurmanın kaldırıldığını doğruluyor. Çekim ve yatırma işlemleri 14.42’de yeniden başlatılıyor.
Sui network üzerindeki çoğu kullanıcı, sabah yaşanan gelişmelerden etkilenmiyor.
Scallop ‘Scallop kaybın %100’ünü tamamen karşılayacak’ dedi.
Saldırının Arkasında 2023’ten Kalmış Eski Kod Var!
Bağımsız zincir üstü analizler, olayın çıkış noktasının kullanım dışı bırakılmış V2 havuz paketi olduğunu gösteriyor. Scallop, bu paketi kasım 2023’te yayınlıyor: Saldırıdan 17 aydan uzun süre önce. Sui’de dağıtılmış paketler değiştirilemiyor. Bu nedenle eski sürümler, özellikle versiyon sınırlaması getirilmezse kullanılmaya açık kalıyor.
Sorunun odak noktası, staking yapanların biriken ödüllerini takip eden ve başlatılmadan bırakılmış bir last_index sayaç değişkeni oluyor. Saldırgan, bu açığı kötüye kullanmak için yaklaşık 136.000 sSUI stake ediyor.
Bu matematiksel hata, pozisyonun ağustostan beri yani havuzun başlatıldığı tarihten itibaren var olduğu izlenimini yaratıyor.
Havuz endeksi, 20 ayda 1,19 milyara kadar ulaşmış durumda. Bu da saldırgana yaklaşık 162 trilyon ödül puanını toplama imkânı veriyor. Söz konusu puanlar, ödül havuzundan 150.000 SUI ile bire bir olarak çekiliyor.
6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL işlem hash’i, zincir üstü fon boşaltma işleminin kanıtını ortaya koyuyor.
Sui DeFi’de Alışılmış Bir Senaryo Mu?
Bu olay, son haftalarda arka arkaya yaşanan Sui saldırılarına bir yenisini ekliyor. Benzer şekilde; Volo Protocol de bu ayın başında yan bir kontrattaki açık nedeniyle yaklaşık 3,5 milyon dolar kaybediyor. Her iki olayda da ana protokol mantığı değil yan kontratlar hedef alınıyor.
Üstelik bu saldırı, Ethereum’daki büyük bir köprü hadisesinden yalnızca bir hafta sonra gerçekleşiyor. Söz konusu olayda yaklaşık 292 milyon dolar değerinde karşılığı olmayan likit restaking token’lar üretiliyor. Her iki saldırıda da haftasonu olması, düşük likidite ve yavaş müdahaleye yol açıyor.
Ne Sui Foundation ne de Mysten Labs saldırıya ilişkin henüz bir kamuoyu açıklaması yapmıyor.
Ancak Scallop için finansal zarar şu an için sınırlı kalmış görünüyor. Protokol, tüm kaybı kullanıcıların getirisinden hiçbir şey eksiltmeden karşılayacağını doğruluyor.
Ekip, henüz kapsamlı bir olay sonrası analiz (post-mortem) raporu yayımlamış değil. Eldeki tüm eski paketlerin denetiminin de yayınlanması, Sui DeFi ekosisteminin genel tepkisini şekillendirecek gibi duruyor.
Daha derin ve esas soru ise şu: Sui geliştiricileri, değiştirilemeyen kod ile kimsenin hatırlamadığı açık saldırı yüzeylerini nasıl yönetmeli?
