KuCoin
Увійти
language_currency
Головна
Блог
Market Insight
Детальніше
img

Часті вразливості DeFi: Що означає подія Scallop?

2026/05/05 09:50:23
Кастомний
Дефі-платформи обіцяють відкриту фінансову систему без посередників, але постійні атаки продовжують підштовхувати користувачів до втрати довіри. Інцидент із Scallop 26 квітня 2026 року виділяється не розміром, а тим, як він розкриває повсякденні ризики, які розробники та користувачі часто не враховують. Атака за допомогою флеш-позики вивела близько 150 000 SUI, що на той момент становило близько 142 000 доларів США, з бічного контракту нагород, пов’язаного з sSUI-спулом на блокчейні Sui. Основні пулі позичання залишилися незатронутими, а команда Scallop швидко заморозила вразливий контракт, відновила роботу та пообіцяла покрити повну втрату за рахунок власних ресурсів.
 
Цей випадок демонструє, як навіть добре встановлені протоколи на новіших ланцюгах стикаються з несподіванками через код, який залишається після закінчення його призначеного використання. Це чіткий сигнал того, що швидкий розвиток DeFi випереджає зусилля з очищення, залишаючи приховані двері відкритими для нападників, які поєднують старі вразливості з сучасними тактиками, такими як флеш-позики та маніпуляції оракулами.
 

Як розгортався атака Scallop у реальному часі

26 квітня 2026 року Scallop опублікував повідомлення про безпеку о 12:50 UTC, у якому деталізував порушення. Зловмисник атакував застарілий контракт V2 нагород, спочатку розгорнутий у листопаді 2023 року для пулу нагород sSUI. Цей контракт був бездіяльним протягом приблизно 17 місяців. Проблема полягала у неініціалізованій змінній “last_index” у нових акаунтах спула, що дозволило зловмиснику отримати масштабні ретроактивні нагороди, що еквівалентні накопиченню за 20 місяців.
 
Звіти описують експлойт як флеш-позику разом із маніпуляцією цін оракула, що дозволило атакуючому позичити активи за спотвореними ставками, вилучити вартість і погасити їх у межах однієї транзакції. Команда ізолятувала проблему, заморозила контракт і підтвердила, що основні депозити користувачів та основні функції грошового ринку залишилися безпечною. Операції були відновлені короткий час потому, при цьому протокол підкреслив, що побічний контракт не мав впливу на основні позичкові операції. Ця швидка відповідь запобігла ширшому поширенню, але інцидент все ще привернув увагу крипто-спільнот, які стежать за щоденними втратами.
 

Технічний недолік, який приховувався на очах протягом 17 місяців

Уразливість існувала в застарілому механізмі нагород, який більше не підтримував активні стимули для користувачів. Розробники перейшли на новіші версії, але старий пакет залишався викликаємим на блокчейні Sui. Зловмисники використали це, створивши спул-акаунти, де неініціалізований індекс за замовчуванням встановлювався таким чином, що значно збільшував розрахунки нагород. Після накопичення балів зловмисник перетворив їх на реальні SUI tokens з пулу. Аналітики безпеки зазначили, що дизайн контракту передбачав належну ініціалізацію — поширена помилка, коли код вважається застарілим, але не повністю видаляється або не захищений контрольними механізмами доступу.
 
Цей випадок демонструє, як блокчейни зберігають кожен розгорнутий контракт назавжди, перетворюючи забуті модулі на потенційні ризики. Швидке заморожування Scallop зупинило подальший відтік, але ця подія викликає питання щодо того, як команди керують виведенням коду в мережах з високою пропускною здатністю, таких як Sui, де швидкість транзакцій сприяє частим оновленням без завжди очищення минулого.
 

Чому застарілі контракти продовжують викликати проблеми в DeFi

Багато протоколів запускають функції, тестують їх, а потім зміщують фокус на нові оновлення чи інтеграції. Старі контракти залишаються в ланцюжку, оскільки їх повне видалення може порушити історичні дані або вимагати складних міграцій. У випадку Scallop, V2 спул нагород не бачив значної активності більше року, але в ньому залишилося достатньо SUI, щоб експлуатація була вигідною. Подібні схеми зустрічаються в усіх екосистемах: команди пріоритезують зростання та новий TVL над детальними аудитами застарілих компонентів.
 
Результат залишає вектори для атакувачів, які сканують необслуговуваний код за допомогою автоматизованих інструментів. Інцидент із Scallop додається до патерну, коли невеликі, ізольовані втрати все ще вказують на більш широкі прогалини в обслуговуванні. Користувачі, які взаємодіють лише з поточними інтерфейсами, можуть ніколи не усвідомити, що неактивний код може непрямо впливати на довіру до всієї платформи, якщо його не вирішити проактивно.
 

Флеш-позики зустрічаються з трюками оракулів у сучасних експлойтах

Флеш-позики дозволяють користувачам позичити великі суми без забезпечення, якщо повернення відбувається в одній атомарній транзакції. Зловмисники поєднують їх із маніпуляціями цінових оракулів, щоб створити штучні ринкові умови. У події Scallop зловмисник, ймовірно, спотворив дані, пов’язані з контрактом нагород, що дозволило отримати надмірне позичання або вимоги до нагород перед погашенням позики. Ця тактика стала стандартним сценарієм, оскільки не вимагає початкового капіталу і використовує тимчасові неузгодженості у джерелах даних.
 
На Sui, з його об’єктно-орієнтованою моделлю та швидкою фінальністю, такі атаки можуть виконуватися з високою точністю. Випадок Scallop демонструє, як навіть неосновні компоненти стають цілями, коли оракули надають дані для логіки нагород. Протоколи, що використовують кілька оракулів або середні значення з вагою часу, намагаються зменшити цей ризик, але старі контракти часто не мають таких захистів, створюючи прості точки входу для досвідчених учасників, які спостерігають за активністю у ланцюжку.
 

Відповідь Scallop та рішення повністю покрити збитки

Scallop швидко діяла, заморозивши вразливий контракт і публікуючи прозорі оновлення через X. Команда заявила, що кошти користувачів у активних пулах не підлягали ризику, і обіцяла повернути всю суму 150 000 SUI з ресурсів протоколу. Такий підхід захищає депозиторів і допомагає зберегти довіру в конкурентному середовищі позичкових операцій на Sui. Виділивши проблему в окремому контракті, Scallop уникнула припинення основних операцій, дозволивши продовжувати позичання та надання позик.
 
Цей крок нагадує, як деякі протоколи обирають самострахування замість того, щоб покласти збитки на користувачів, особливо коли порушення виникає через некоровий код. Спостерігачі зазначили, що відповідь обмежила шкоду репутації, хоча це все ще підкреслює реальні витрати, які протоколи несуть, коли виявляються помилки. Повна компенсація переконує роздрібних учасників, які інакше могли б здійснити виведення під час невизначеності, зберігаючи ліквідність у ширшій екосистемі.
 

Жорсткий ряд інцидентів DeFi у квітні 2026 року

У квітні 2026 року вже зафіксовано значні втрати в усьому секторі, загальна сума яких перевищила $600 мільйонів лише за першу половину місяця внаслідок кількох подій. Серед відомих випадків — експлойт моста Kelp DAO, внаслідок якого було викрадено близько $293 мільйонів rsETH, та інцидент із Drift Protocol, пов’язаний з близько $285 мільйонами. Менші порушення, наприклад втрата $3,5 мільйона Volo Protocol 22 квітня, швидко додаються. Втрата Scallop у розмірі $142 000 є одним із більш обмежених прикладів у цьому хвилі, але вона все ж додається до місячного підсумку, який робить квітень особливо складним.
 
Дані від компаній з моніторингу показують зростання як частоти, так і різноманітності векторів атак — від підробки повідомлень мостів до соціальної інженерії та недоліків смартконтрактів. Концентрація інцидентів на початку року піднімає показники з початку року значно вище за попередні квартали, створюючи тиск на весь індустрійний сектор щодо аналізу причин постійного зростання втрат, незважаючи на зростаючу зрілість деяких протоколів.
 

Як зростаюча екосистема Sui зустрічає новий погляд

Sui позиціонує себе як високопродуктивний Layer 1 з архітектурою, орієнтованою на об’єкти, яка підтримує паралельне виконання та швидкі розрахунки. Scallop входить до числа провідних протоколів грошового ринку, привертаючи користувачів ефективними можливостями позичання та отримання прибутку. Експлойт, хоча й обмежений, знову звертає увагу на практики безпеки в екосистемі. Нові ланцюги часто бачать швидке запускання протоколів та зростання TVL, але цей темп може відсунути на другий план глибоке управління наявними системами.
 
Проєкти на базі Sui користуються технічними перевагами мережі, але випадок Scallop показує, що переваги на рівні ланцюга не забезпечують автоматичного захисту окремих смартконтрактів від помилок у дизайні. Обговорення в спільноті зосереджені на тому, чи не призводять швидші цикли розробки на інноваційних платформах до збільшення вразливості до не врахованих шляхів коду. Цей інцидент надихає команди по всьому Sui переглянути практики розгортання та сприяти кращому документуванню застарілих модулів.
 

Людська сторона протоколу, що піддається атакі

За кожним експлойтом стоять реальні люди, чий час, капітал і довіра залежать від результату. Користувачі Scallop, які зробили стейкінг у пулах sSUI або отримували винагороди, пережили короткий період невизначеності 26 квітня, доки команда не надала гарантії. Розробники, які створили, а потім припинили роботу з контракту V2, ймовірно, ніколи не уявляли, що він стане мішенню через 17 місяців неактивності. Дослідники безпеки та аналітики ланцюга, які виявили потік транзакцій, провели години, відстежуючи неініціалізований змінний та механізми інфляції винагород.
 
Для менших учасників спільноти Sui ця подія відчувається особистою, бо багато хто використовує DeFi-платформи як щоденні інструменти для отримання дохідності, а не як високоризикований експеримент. Зобов’язання протоколу забезпечити повне покриття зменшило негайний стрес для тих, хто був впливаний непрямо через ринковий настрій. Історії, подібні до цієї, нагадують нам, що код працює на основі людських рішень — про те, що підтримувати, що виводити з експлуатації та як прозоро повідомляти про помилки.
 

Шаблони, які постійно повторюються в лізингових протоколах

Платформи кредитування мають спільні архітектури, що включають забезпечення, позики, оракули та шари стимулів. Нагородний спул Scallop повторює функції багатьох грошових ринків, де бали або токени нагороджують участь. Коли команди зупиняють системи стимулів, не розриваючи повністю зв’язків з пуools активів, ризики залишаються. Атаки з використанням флаш-позик вже цілили подібні системи, оскільки вони посилюють невеликі розбіжності цін у величезні прибутки. 17-місячна перерва в контракті Scallop нагадує випадки, коли протоколи оновлюють інтерфейси, але залишають бекенд-логіку доступною.
 
Поза екосистемами аудитори іноді зосереджуються на активному коді, надаючи менше уваги архівним пакетам. Цей інцидент додає конкретні дані до обговорень щодо управління життєвим циклом коду: регулярні процеси припинення підтримки, відкликання доступу або навіть маркери в ланцюжку, що сигналізують про зняття з експлуатації, можуть зменшити ризик несподіваних атак. Цей випадок відповідає більш загальній спостереженню: механізми стимулювання, хоча й чудово підходять для залучення користувачів, часто вводять складні розрахунки, схильні до крайніх випадків, якщо їх не тестувати на стійкість протягом часу.
 

Що говорять цифри про тенденції втрат у DeFi у 2026 році

Служби відстеження повідомляють, що втрати в DeFi на початку 2026 року вже досягли сотень мільйонів, а в квітні темпи значно прискорилися. Одне з аналітичних досліджень визначило, що показники квітня перевищили $600 мільйонів за приблизно 18 днів після до 12 інцидентів. За деякими оцінками, загальні показники з початку року перевищили $750 мільйонів, що спричинено поєднанням атак на мости, проблем з оракулами та компрометацією операцій. Менші події, як Scallop, теж мають значення, бо вони накопичуються й підривають загальну довіру до сектору.
 
Розміри середніх збитків варіюються, але навіть обмежені порушення свідчать про те, що витрати на невдачі в безпеці лягають на скарбниці протоколів або страхові пули. Ці дані отримано з on-chain даних та звітів про інциденти, зібраних фірмами, які моніторять експлойти в реальному часі. Концентрація в квітні підкреслює, як кластери атак можуть виникати, коли ринкові умови або покращення інструментарію роблять певні вектори більш прибутковими. Випадок Scallop, що становить частину місячного загального підсумку, все ще сприяє наративу про те, що вразливості залишаються, навіть коли загальна заблокована вартість зростає в перспективних екосистемах.
 

Уроки з того, як команди впоруються з відновленням після експлуатації

Швидке ізольоване вирішення та прозора комунікація стали ключовими показниками ефективної відповіді. Scallop розморозив основні контракти після підтвердження, що проблема залишилася обмеженою, що дозволило відновити нормальну діяльність без довготривалих перерв. Компенсація збитків внутрішніми засобами уникне змусження користувачів приймати зниження вартості активів, що може спричинити виведення коштів на конкурентних ринках. Багато протоколів зараз мають окремі бюджети на безпеку або співпрацюють з страховими компаніями для вирішення таких подій.
 
Публічне повідомлення та наступні оновлення команди Scallop допомогли обмежити спекуляції та паніку. Навпаки, повільніші або менш чіткі відповіді у минулих інцидентах призводили до довготривалих знижень TVL. Цей підхід демонструє цінність наявності готових планів реагування на інциденти, включаючи механізми призупинення контрактів та чітке визначення власників бічних пулів. Для користувачів спостереження за діями команд у години після розкриття інформації дає уявлення про операційну зрілість, яка перевищує маркетингові заяви.
 

Більш широкі сигнали для користувачів, які шукають можливості отримання дохідності

Подія Scallop закликає уважніше вивчити, звідки походять дохідність і який код її підтримує. Учасники часто перевіряють поточні APY та TVL, але рідко глибше аналізують історію контрактів чи статус зношування. На платформах, як Scallop, нагороди, пов’язані з sSUI, колись були прив’язані до вразливого spool, тому розуміння еволюції стимулів має значення. Користувачі користуються перевагами, вибираючи протоколи, які чітко документують зміни коду та коректно виводять старі компоненти з експлуатації.
 
Інцидент також підкреслює роль функцій, властивих конкретному ланцюжку: модель Sui дозволяє ефективні взаємодії, але все ще вимагає уважного ставлення до смартконтрактів. Диверсифікація між кількома платформами та моніторинг офіційних каналів під час інцидентів може допомогти зменшити ризики. Хоча жодна платформа не виключає ризиків, свідомість про поширені шаблони, такі як логіка старих винагород чи залежність від flash loan, допомагає користувачам робити більш обґрунтовані вибори в середовищі, де інновації рухаються швидко.
 

Перегляд майбутніх практик безпеки в розвиваючійся DeFi

Зі зрілістю протоколів акцент зміщується на краще керування кодом, включаючи автоматичне зняття з експлуатації не використовуваних контрактів та покращений моніторинг неактивних модулів. Команди досліджують формальну верифікацію або постійні програми баг-бантів, що спеціально спрямовані на застарілий код. Випадок Scallop, хоча й невеликий за масштабом, слугує практичним нагадуванням про те, що ріст на нових ланцюгах не зникає потреби в дисциплінованому обслуговуванні.
 
Спільнота іноді голосує за оновлення безпеки, надаючи користувачам можливість впливати на пріоритети аудитів. У майбутніх розробках можуть бути впроваджені тайм-локи або явні прапорці зняття з експлуатації, які забороняють виклики старої логіки. Ця подія доповнює загальні знання про реальні поверхні атак, допомагаючи розробникам у всіх проектах передбачати подібні проблеми. І користувачі, і розробники вигоджують, ставлячи під сумнів безпеку кожного розгорнутого контракту до тих пір, поки його не буде чітко очищено.
 

ЧаП

Що саме сталося під час експлуатації Scallop 26 квітня 2026 року?
Зловмисник використав флеш-позику та маніпулював елементами застарілого контракту нагород V2, пов’язаного зі спулом sSUI, вивівши близько 150 000 SUI, що становить приблизно 142 000 доларів США. Основний кредитний протокол залишився незатронутим, а команда швидко заморозила контракт і пообіцяла повну компенсацію.
 
Чи втратили користувачі кошти зі своїх основних депозитів на Scallop?
Ні. Експлойт був спрямований лише на бічний контракт для нагород, який не використовувався протягом 17 місяців. Основні операції на грошовому ринку, депозити користувачів та активні пули продовжували роботу без перерв, а протокол зобов’язався повністю компенсувати збитки за рахунок власних ресурсів.
 
Чому застарілі контракти все ще створюють ризики роки після запуску?
Блокчейни зберігають кожен смартконтракт постійно доступним. Коли команди припиняють використання старих версій, але не обмежують чи видаляють їх повністю, зловмисники все ще можуть взаємодіяти, якщо існують вразливості, такі як неініціалізовані змінні. Випадок Scallop показує, як 17 місяців неактивності не знищили цінність бонусного пулу як цілі.
 
Наскільки поширеними є атаки з використанням флеш-позик у DeFi-протоколах позичання?
Вони з’являються регулярно, оскільки флеш-позики не вимагають забезпечення і розраховуються миттєво. Поєднання їх із маніпуляціями оракула дозволяє нападникам створювати тимчасові спотворення для вилучення вартості. Інцидент із Scallop слідував цій схемі, але обмежився неосновним компонентом.
 
Які кроки можуть зробити користувачі DeFi, щоб зменшити вразливість до подібних інцидентів?
Перевірте офіційні оголошення на наявність повідомлень про проблеми, проаналізуйте історію оновлень коду протоколу та зрозумійте, звідки походять дохідність. Віддавайте перевагу платформам з прозорою комунікацією та сильними показниками відповіді. Диверсифікація активів між різними ланцюгами та протоколами також допомагає зменшити загальний ризик.
 
Чи свідчить подія Scallop про більш серйозні проблеми для екосистеми Sui?
Це підкреслює необхідність обережного управління застарілим кодом навіть на високопродуктивних ланцюгах. Sui продовжує рости на міцних технічних основах, але окремі протоколи повинні підтримувати чистоту щодо застарілих компонентів. Обмежений характер втрати та швидке відновлення свідчать про те, що екосистема може ефективно реагувати при виникненні проблем.
 
 

Відмова від відповідаль

Цей матеріал має лише інформаційний характер і не є інвестиційною порадою. Інвестиції в криптовалюту супроводжуються ризиком. Будь ласка, проводьте власне дослідження (DYOR).

Відмова від відповідальності: Для вашої зручності цю сторінку було перекладено за допомогою технології ШІ (на базі GPT). Для отримання найточнішої інформації дивіться оригінальну англійську версію.