Scallop ซึ่งเป็นตลาดเงินบนเครือข่าย Sui สูญเสีย SUI ไปประมาณ 150,000 เหรียญเมื่อวันอาทิตย์ หลังผู้โจมตีได้ดูดเงินจากสัญญา rewards รุ่นเก่าที่เชื่อมกับ sSUI spool ของโปรโตคอลนี้
ทีมงานได้แช่แข็งสัญญาที่ได้รับผลกระทบภายในไม่กี่นาที และให้คำมั่นในการชดเชยครบจำนวนทั้งหมดจากเงินทุนคงคลังของตนเอง นอกจากนี้ ระบบหลักกลับมาดำเนินการได้ภายในเวลาไม่ถึงสองชั่วโมง
ช่องโหว่ Sui ครั้งใหม่โจมตีโค้ดส่วนเสริม ไม่ใช่โปรโตคอลหลัก
Scallop เปิดเผยเหตุการณ์นี้เมื่อเวลา 12:50 UTC วันที่ 26 เมษายน ผ่านประกาศสาธารณะบน X โดยผู้โจมตีเลือกเป้าหมายเป็นสัญญาย่อยที่รับผิดชอบจ่าย rewards ให้ sSUI spool ซึ่ง spool นี้ถือเป็นชั้นจูงใจสำหรับผู้ฝาก SUI ในโปรโตคอล
ทีมงานระบุว่าสามารถแช่แข็งสัญญาที่ได้รับผลกระทบได้ทันที ทั้งนี้ กลุ่ม pool สำหรับการให้กู้และการกู้ยืมหลักยังคงไม่ได้รับผลกระทบเลย เงินฝากผู้ใช้ทั้งหมดในตลาดอื่นๆ ของ Scallop จึงยังคงปลอดภัย
สองชั่วโมงต่อมา Scallop ยืนยันว่าได้ปลดล็อกการแช่แข็งบนสัญญาหลักเรียบร้อยแล้ว โดยสามารถถอนและฝากเงินได้อีกครั้งเมื่อเวลา 14:42 UTC
ผู้ใช้ส่วนใหญ่บน เครือข่าย Sui ไม่ได้รับผลกระทบจากเหตุการณ์ในช่วงเช้านี้แต่อย่างใด
Scallop จะชดเชยความเสียหาย 100% ทั้งหมดให้แก่ผู้ใช้ทันที ตามประกาศของตลาดเงิน ตามลิงก์นี้
โค้ดแพ็คเกจเก่าในปี 2023 คือจุดอ่อนของการแฮกครั้งนี้
การวิเคราะห์อิสระบนเครือข่ายได้ชี้ไปที่แพ็คเกจ spool V2 รุ่นเก่าว่าเป็นจุดเริ่มต้นของการโจมตี โดย Scallop ได้เผยแพร่โค้ดนี้ตั้งแต่เดือนพฤศจิกายน 2023 หรือกว่า 17 เดือนก่อนการโจมตีนี้ สำหรับบน Sui แพ็คเกจที่ deploy แล้วจะไม่สามารถแก้ไขได้ และเวอร์ชันเก่ายังคงถูกเรียกใช้ได้ ยกเว้นแต่จะมีการล็อกเวอร์ชันอย่างชัดเจน
จุดบกพร่องอยู่ที่ตัวนับ last_index ที่ไม่ได้ถูกเริ่มต้นใหม่ ซึ่งตัวนี้จะติดตาม รางวัลที่สะสมสำหรับผู้ที่ stake โดยผู้โจมตี stake sSUI ไปประมาณ 136,000 เหรียญเพื่อเจาะช่องโหว่นี้
การคำนวณดังกล่าวมองว่าตำแหน่งดังกล่าวเหมือนกับมีอยู่ตั้งแต่ spool เปิดตัวในเดือนสิงหาคม 2023
ค่า spool index สะสมขึ้นถึงประมาณ 1.19 พันล้านในช่วง 20 เดือนที่ผ่านมา จึงทำให้ผู้โจมตีสามารถเก็บเกี่ยวรางวัลไปได้ถึง 162 ล้านล้านแต้มรางวัล ซึ่งเปลี่ยนคืนเป็น SUI 150,000 เหรียญหนึ่งต่อหนึ่งจาก rewards pool
รหัสธุรกรรม 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL เป็นหลักฐานบนเครือข่ายของการดูดเงินสำเร็จในครั้งนี้
รูปแบบที่คุ้นเคยในโลก DeFi ของ Sui
เหตุการณ์นี้เกิดขึ้นต่อเนื่องจากกรณีถูกแฮกบนเครือข่าย Sui หลายครั้งในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดย Volo Protocol สูญเงินไปประมาณ 3.5 ล้าน USD เมื่อต้นเดือนในเหตุการณ์ลักษณะใกล้เคียงกัน ซึ่งทุกกรณีที่กล่าวมาล้วนโจมตีสัญญาย่อย ไม่ใช่ตรรกะโปรโตคอลหลักแต่อย่างใด
นอกจากนี้ เหตุการณ์นี้ยังเกิดขึ้นหลังจากเหตุสะพานใหญ่บนอีเธอเรียมเพียงหนึ่งสัปดาห์ ซึ่งส่งผลให้เกิดโทเคน restaking ที่ไม่มีหลักประกันมูลค่าประมาณ 292 ล้าน USD ทั้งสองการโจมตีเกิดขึ้นในช่วงสุดสัปดาห์ ซึ่งสภาพคล่องต่ำและเวลาตอบสนองอาจล่าช้า
ทั้ง Sui Foundation และ Mysten Labs ยังไม่ได้ออกแถลงการณ์ต่อสาธารณชนเกี่ยวกับเรื่องนี้
แต่สำหรับ Scallop ความเสียหายทางการเงินดูเหมือนจะถูกควบคุมไว้ ทีมงานยืนยันว่าพวกเขาจะรับภาระขาดทุนนี้ทั้งหมดโดยไม่ลดผลตอบแทนของผู้ใช้งาน
ทีมงานยังไม่ได้เผยแพร่รายงานหลังเกิดเหตุแบบเต็มรูปแบบ แต่คาดว่าการเผยแพร่ออดิทฉบับสมบูรณ์ของทุกแพ็คเกจเก่าที่เหลืออยู่จะส่งผลต่อแนวทางตอบสนองของวงการ Sui DeFi ในวงกว้าง
คำถามที่ลึกซึ้งกว่านั้นคือ เหล่านักพัฒนาบน Sui ควรจัดการกับโค้ดที่เปลี่ยนแปลงไม่ได้และช่องโหว่ที่ถูกลืมอย่างไร
