KuCoin
Войти
language_currency
главная
Блог
Market Insight
Детали
img

Частые уязвимости DeFi: какой сигнал дает событие Scallop?

2026/05/05 09:50:23
Пользовательский
Платформы DeFi обещают открытые финансы без посредников, но повторяющиеся атаки продолжают подрывать доверие пользователей. Инцидент с Scallop 26 апреля 2026 года выделяется не своим масштабом, а тем, как он раскрывает повседневные риски, которые часто игнорируют разработчики и пользователи. Атака с использованием flash loan похитила примерно 150 000 SUI, что на тот момент составляло около 142 000 долларов США, из побочного контракта вознаграждений, связанного со спулом sSUI протокола на блокчейне Sui. Основные кредитные пулы остались нетронутыми, а команда Scallop быстро заморозила затронутый контракт, возобновила работу и пообещала компенсировать полный ущерб за счет собственных ресурсов.
 
Это событие демонстрирует, как даже хорошо зарекомендовавшие себя протоколы на более новых блокчейнах сталкиваются с неожиданностями из-за кода, который сохраняется долго после окончания его предполагаемого использования. Это явный сигнал того, что быстрый рост DeFi опережает усилия по очистке, оставляя скрытые двери открытыми для злоумышленников, которые сочетают старые уязвимости с современными методами, такими как флеш-кредиты и манипуляции оракулами.
 

Как разворачивалась атака Scallop в реальном времени

26 апреля 2026 года Scallop опубликовало уведомление о безопасности в 12:50 UTC, детализирующее инцидент. Злоумышленник атаковал устаревший контракт вознаграждений V2, первоначально развернутый в ноябре 2023 года для пула вознаграждений sSUI. Этот контракт не использовался около 17 месяцев. Уязвимость заключалась в неинициализированной переменной «last_index» в новых аккаунтах спула, что позволило злоумышленнику получить огромные ретроактивные вознаграждения, эквивалентные накоплениям за 20 месяцев.
 
Отчеты описывают эксплуатацию как флеш-займ в сочетании с манипуляцией ценами оракула, что позволило злоумышленнику взять активы в долг по искаженным ставкам, извлечь выгоду и погасить кредит в рамках одной транзакции. Команда изолировала проблему, заблокировала контракт и подтвердила, что основные депозиты пользователей и ключевые функции денежного рынка остались в безопасности. Операции возобновились вскоре после этого, при этом протокол подчеркнул, что побочный контракт не оказал влияния на основные кредитные операции. Быстрая реакция предотвратила более широкое заражение, однако инцидент все еще привлек внимание сообществ криптовалют, отслеживающих ежедневные потери.
 

Технический недостаток, скрывавшийся на виду в течение 17 месяцев

Уязвимость существовала в устаревшем механизме вознаграждений, который больше не использовался для стимулирования активных пользователей. Разработчики перешли на более новые версии, но старый пакет оставался вызываемым в блокчейне Sui. Злоумышленники воспользовались этим, создав спуловые аккаунты, где неинициализированный индекс по умолчанию принимал значение, резко увеличивающее расчет вознаграждений. После накопления баллов злоумышленник конвертировал их в реальные SUI tokens из пула. Анализаторы безопасности отметили, что дизайн контракта предполагал корректную инициализацию — распространенная ошибка, возникающая при устаревании кода без полного удаления или контроля доступа.
 
Этот случай демонстрирует, как блокчейны навсегда сохраняют каждый развернутый контракт, превращая забытые модули в потенциальные риски. Быстрое замораживание Scallop остановило дальнейший отток средств, но это событие поднимает вопросы о том, как команды управляют выводом из эксплуатации кода в высокопроизводительных сетях, таких как Sui, где скорость транзакций поощряет частые обновления без обязательной очистки прошлого.
 

Почему устаревшие контракты продолжают вызывать проблемы в DeFi

Многие протоколы запускают функции, тестируют их, а затем переключают внимание на новые обновления или интеграции. Старые контракты остаются в блокчейне, поскольку их полное удаление может нарушить исторические данные или потребовать сложных миграций. В случае Scallop V2-спул вознаграждений не видел значимой активности более года, но все еще содержал достаточное количество SUI, чтобы сделать эксплуатацию выгодной. Подобные паттерны наблюдаются во всех экосистемах: команды уделяют приоритетное внимание росту и новому TVL, а не исчерпывающим аудитам устаревших компонентов.
 
Результат оставляет векторы для атакующих, сканирующих необслуживаемый код с помощью автоматизированных инструментов. Инцидент со Scallop добавляется к паттерну, при котором небольшие изолированные потери всё ещё указывают на более широкие пробелы в обслуживании. Пользователи, взаимодействующие только с текущими интерфейсами, могут никогда не осознать, что неактивный код может косвенно повлиять на доверие ко всей платформе, если не устранять его проактивно.
 

Флеш-кредиты встречаются с обманами оракулов в современных эксплуатациях

Флеш-кредиты позволяют пользователям брать в долг огромные суммы без залога, при условии, что погашение происходит в рамках одной атомарной транзакции. Злоумышленники сочетают их с манипуляциями ценовых оракулов для создания искусственных рыночных условий. В случае со Scallop злоумышленник, вероятно, исказил данные, связанные с контрактом вознаграждений, что позволило ему получить повышенные займы или претендовать на повышенные вознаграждения до погашения кредита. Эта тактика стала стандартной схемой, поскольку не требует начального капитала и использует временные несоответствия в источниках данных.
 
На Sui, с его моделью, ориентированной на объекты, и быстрой финализацией, такие атаки могут осуществляться с высокой точностью. Случай Scallop демонстрирует, как даже неосновные компоненты становятся целями, когда оракулы передают данные в логику вознаграждений. Протоколы, использующие несколько оракулов или взвешенные по времени средние значения, стремятся снизить этот риск, но устаревшие контракты часто не имеют таких мер защиты, создавая легкие точки входа для изощренных участников, отслеживающих активность в цепочке.
 

Ответ Scallop и решение полностью покрыть убытки

Scallop оперативно заморозила уязвимый контракт и предоставила прозрачные обновления через X. Команда заявила, что средства пользователей в активных пулах не подвергались риску, и обязалась возместить всю сумму в 150 000 SUI из ресурсов протокола. Такой подход защищает вкладчиков и помогает сохранить доверие в конкурентной среде кредитования на Sui. Изолировав проблему в побочном контракте, Scallop избежала приостановки основных операций, позволив продолжить кредитование и заимствование.
 
Этот шаг напоминает, как некоторые протоколы выбирают самообеспечение вместо того, чтобы возлагать убытки на пользователей, особенно когда уязвимость возникает из-за неключевого кода. Наблюдатели отметили, что такая реакция ограничила репутационный ущерб, хотя она все еще подчеркивает реальные издержки, которые протоколы несут при обнаружении ошибок. Полная компенсация успокаивает розничных участников, которые в противном случае могли бы осуществить вывод во время неопределенности, сохраняя ликвидность в более широкой экосистеме.
 

Жесткая серия инцидентов в DeFi в апреле 2026 года

Апрель 2026 года уже зафиксировал значительные потери по всему сектору, причем только за первую половину месяца общие потери превысили $600 млн из-за нескольких инцидентов. Среди наиболее известных случаев — эксплуатация моста Kelp DAO, в результате которой было похищено примерно $293 млн rsETH, и инцидент с Drift Protocol, связанный с примерно $285 млн. Менее масштабные утечки, такие как потеря Volo Protocol в размере $3,5 млн 22 апреля, быстро суммируются. Потери Scallop в размере $142 000 вписываются в эту волну как один из более ограниченных примеров, но они вносят свой вклад в месячный итог, сделав апрель особенно сложным.
 
Данные от отслеживающих фирм показывают рост как частоты, так и разнообразия векторов атак — от подделки сообщений мостов до социальной инженерии и уязвимостей смарт-контрактов. Сконцентрированность инцидентов в начале года выводит показатели с начала года значительно выше предыдущих кварталов, создавая давление на всю отрасль для анализа причин накопления убытков, несмотря на растущую зрелость некоторых протоколов.
 

Как растущая экосистема Sui сталкивается с новым вниманием

Sui позиционирует себя как высокопроизводительный Layer 1 с объектно-ориентированной архитектурой, поддерживающей параллельное выполнение и быстрые расчеты. Scallop входит в число ведущих протоколов денежного рынка, привлекая пользователей эффективными возможностями кредитования и получения дохода. Эксплуатация, хотя и ограниченная, привлекает новое внимание к практикам безопасности в экосистеме. Новые блокчейны часто характеризуются быстрым запуском протоколов и ростом TVL, но такой темп может привести к пренебрежению тщательным управлением устоявшимися системами.
 
Проекты на базе Sui пользуются техническими преимуществами сети, однако случай Scallop показывает, что преимущества на уровне цепочки не обеспечивают автоматической защиты от ошибок проектирования отдельных смарт-контрактов. Обсуждения в сообществе сосредоточены на том, не увеличивают ли более быстрые циклы разработки на инновационных платформах риск экспозиции незамеченным путям кода. Инцидент побуждает команды в экосистеме Sui пересмотреть практики развертывания и способствовать лучшей документации устаревших модулей.
 

Человеческая сторона протокола под атакой

За каждой уязвимостью стоят реальные люди, чье время, капитал и доверие находятся на весу. Пользователи Scallop, которые стейкили в пулах sSUI или получали вознаграждения, столкнулись с кратковременной неопределенностью 26 апреля до заверений команды. Разработчики, создавшие и позже отказавшиеся от контракта V2, вероятно, никогда не предполагали, что он станет целью спустя 17 месяцев бездействия. Исследователи безопасности и аналитики в цепочке, заметившие поток транзакций, потратили часы на отслеживание неинициализированной переменной и механизма инфляции вознаграждений.
 
Для меньших участников сообщества Sui событие кажется личным, поскольку многие воспринимают DeFi-платформы как ежедневные инструменты для получения дохода, а не как высокорисковые эксперименты. Приверженность протокола полному покрытию снизила немедленный стресс у тех, кто пострадал косвенно из-за рыночных настроений. Истории подобного рода напоминают нам, что код работает на основе человеческих решений — о том, что поддерживать, что выводить из эксплуатации и насколько прозрачно сообщать о возникающих проблемах.
 

Паттерны, которые постоянно повторяются в протоколах кредитования

Платформы кредитования имеют общую архитектуру, включающую залог, заимствование, оракулы и слои стимулов. Наградной механизм Scallop повторяет функции многих денежных рынков, где баллы или токены вознаграждают участие. Когда команды прекращают использование систем стимулов, не разрывая полностью связь с пулами активов, риски сохраняются. Атаки с использованием флеш-кредитов уже ранее нацеливались на подобные системы, поскольку они преумножают небольшие расхождения в ценах в крупную прибыль. 17-месячная неактивность контракта Scallop напоминает случаи, когда протоколы обновляют интерфейсы, но оставляют бэкенд-логику доступной.
 
В пределах экосистем аудиторы иногда сосредотачиваются исключительно на активном коде, уделяя меньше внимания архивным пакетам. Этот инцидент добавляет конкретные данные в обсуждения управления жизненным циклом кода: регулярные процессы вывода из эксплуатации, отзыв доступа или даже маркеры в цепочке, сигнализирующие о устаревании, могут снизить риск неожиданных атак. Это событие соответствует более широкому наблюдению: механизмы стимулирования, хотя и эффективны для вовлечения пользователей, часто вводят сложные расчеты, подверженные крайним случаям, если они не проходят достаточного стресс-тестирования со временем.
 

Что цифры говорят о тенденциях потерь в DeFi в 2026 году

Сервисы отслеживания сообщают, что потери в DeFi в начале 2026 года уже достигли сотен миллионов, а в апреле темпы резко ускорились. Одно из анализов поместило показатели апреля выше $600 млн за примерно 18 дней и около дюжины инцидентов. Суммарные показатели с начала года в некоторых оценках превысили $750 млн, что обусловлено сочетанием атак на мосты, проблем с оракулами и операционных компромиссов. Меньшие события, такие как Scallop, также имеют значение, поскольку они накапливаются и подрывают общую уверенность в секторе.
 
Средние размеры потерь варьируются, но даже ограниченные инциденты свидетельствуют о том, что расходы на сбои в безопасности ложатся на казну протокола или страховые пулы. Эти данные основаны на данных в цепочке и отчетах об инцидентах, собранных компаниями, отслеживающими эксплойты в реальном времени. Концентрация в апреле подчеркивает, как кластеры атак могут возникать, когда рыночные условия или улучшения инструментов делают определенные векторы более прибыльными. Случай Scallop, составляющий долю от месячного общего числа, все еще способствует представлению о том, что уязвимости сохраняются, несмотря на рост общей заблокированной стоимости в перспективных экосистемах.
 

Уроки из того, как команды справляются с восстановлением после эксплуатации

Быстрая изоляция и прозрачная коммуникация стали ключевыми признаками эффективного реагирования. Scallop разморозил основные контракты после подтверждения, что проблема осталась локализованной, что позволило возобновить нормальную деятельность без длительных простоев. Покрытие убытков за счет собственных средств избегает необходимости заставлять пользователей нести потери, что может вызвать отток в конкурентных рынках. Многие протоколы теперь выделяют отдельные бюджеты на безопасность или сотрудничают с страховыми компаниями для управления подобными инцидентами.
 
Публичное заявление команды Scallop и последующие обновления помогли ограничить спекуляции и панику. Напротив, более медленные или менее четкие ответы в прошлых инцидентах приводили к продолжительным падениям TVL. Этот подход демонстрирует ценность готовых планов реагирования на инциденты, включая механизмы приостановки контрактов и четкое определение ответственности за побочные пулы. Для пользователей наблюдение за действиями команд в часы после раскрытия информации позволяет оценить уровень операционной зрелости за пределами маркетинговых заявлений.
 

Более широкие сигналы для пользователей, ищущих возможности получения дохода

Событие Scallop побуждает более внимательно изучить, откуда берутся доходы и какой код их поддерживает. Участники часто проверяют текущие APY и TVL, но редко углубляются в историю контрактов или статус износа. На платформах, таких как Scallop, награды, связанные с sSUI, ранее были привязаны к уязвимому spool, поэтому понимание эволюции стимулов имеет значение. Пользователи получают выгоду, отдавая предпочтение протоколам, которые четко документируют изменения в коде и корректно выводят старые компоненты из эксплуатации.
 
Инцидент также подчеркивает роль специфических функций блокчейна: модель Sui обеспечивает эффективное взаимодействие, но все еще требует тщательного соблюдения гигиены смарт-контрактов. Диверсификация между несколькими платформами и мониторинг официальных каналов во время инцидентов может помочь снизить риски. Хотя ни одна платформа не исключает риски, осведомленность о распространенных паттернах, таких как устаревшая логика вознаграждений или зависимость от флеш-кредитов, помогает пользователям принимать более обоснованные решения в пространстве, где инновации развиваются быстро.
 

Взгляд в будущее: практики безопасности в развивающемся DeFi

По мере созревания протоколов акцент смещается в сторону лучшего управления кодом, включая автоматическое прекращение использования неиспользуемых контрактов и улучшенный мониторинг неактивных модулей. Команды изучают формальную верификацию или постоянные программы баг-баунти, специально направленные на устаревший код. Случай Scallop, хотя и небольшой по масштабу, служит практическим напоминанием о том, что рост на новых блокчейнах не отменяет необходимости дисциплинированного обслуживания.
 
Сообщество иногда голосует за обновления безопасности, давая пользователям возможность влиять на приоритеты аудитов. В будущих версиях могут быть внедрены временные блокировки или явные флаги устаревания, предотвращающие вызовы старой логики. Это событие обогащает коллективные знания о реальных уязвимостях, помогая разработчикам различных проектов предвидеть подобные проблемы. И пользователи, и создатели извлекают выгоду из подхода, при котором каждый развернутый контракт считается потенциально активным, пока не будет доказано иное в результате тщательной очистки.
 

ЧаВо

Что именно произошло при эксплуатации уязвимости Scallop 26 апреля 2026 года?
Злоумышленник использовал флеш-займ и манипулировал элементами устаревшего контракта вознаграждений V2, связанного со спулом sSUI, и извлек около 150 000 SUI, что составляет примерно 142 000 долларов США. Основной кредитный протокол остался не затронутым, а команда быстро заморозила контракт и пообещала полную компенсацию.
 
Потеряли ли пользователи какие-либо средства со своих основных депозитов на Scallop?
Нет. Эксплуатация затронула только побочный контракт вознаграждений, который не использовался в течение 17 месяцев. Основные операции на денежном рынке, депозиты пользователей и активные пулы продолжали работать без перебоев, и протокол обязался полностью покрыть убытки за счет собственных ресурсов.
 
Почему устаревшие контракты все еще представляют риски спустя годы после запуска?
Блокчейны сохраняют каждый смарт-контракт постоянно доступным. Когда команды перестают использовать более старые версии, но не ограничивают или не удаляют их полностью, злоумышленники всё ещё могут взаимодействовать с ними, если существуют уязвимости, такие как неинициализированные переменные. Случай Scallop демонстрирует, как 17 месяцев неактивности не устранили ценность пула вознаграждений как цели.
 
Насколько распространены атаки с использованием флеш-кредитов в протоколах децентрализованного кредитования?
Они появляются регулярно, потому что флеш-кредиты не требуют залога и мгновенно погашаются. Сочетание их с манипуляциями оракулов позволяет злоумышленникам создавать временные искажения для извлечения стоимости. Инцидент со Scallop следовал этой схеме, но ограничился неосновным компонентом.
 
Какие шаги могут предпринять пользователи DeFi для снижения риска подобных инцидентов?
Проверяйте официальные анонсы на наличие сообщений о проблемах, изучайте историю обновлений кода протокола и понимайте, откуда берутся доходы. Отдавайте предпочтение платформам с прозрачной коммуникацией и хорошей репутацией в ответах на запросы. Диверсификация активов между различными блокчейнами и протоколами также помогает снизить общий риск.
 
Свидетельствует ли событие с Scallop о более серьезных проблемах для экосистемы Sui?
Это подчеркивает необходимость тщательного управления устаревшим кодом даже на высокопроизводительных блокчейнах. Sui продолжает расти благодаря прочным техническим основам, но отдельные протоколы должны поддерживать чистоту в работе с устаревшими компонентами. Ограниченный характер потерь и быстрое восстановление свидетельствуют о том, что экосистема может эффективно реагировать при возникновении проблем.
 
 

Отказ от ответственности

Этот материал предназначен исключительно для информационных целей и не является инвестиционной рекомендацией. Инвестиции в криптовалюты сопряжены с рисками. Проведите собственное исследование (DYOR).

Отказ от ответственности: Эта страница была переведена для вашего удобства с использованием технологии искусственного интеллекта (на базе GPT). Для получения наиболее точной информации обратитесь к оригинальной английской версии.