Scallop, en penningmarknad på Sui Network, förlorade cirka 150 000 SUI på söndagen efter att en angripare tömt ett gammalt belöningskontrakt kopplat till protokollets sSUI-pool.
Teamet frös det drabbade kontraktet inom några minuter och lovade full ersättning från sin kassa. Kärnverksamheten startade igen på mindre än två timmar.
Ytterligare ett Sui-angrepp träffade kringkod, inte kärnprotokollet
Scallop berättade om händelsen klockan 12:50 UTC den 26 april genom ett offentligt meddelande på X. Angriparen riktade in sig på ett sidoavtal som driver sSUI-poolens belöningar. Denna pool är protokollets incitamentslager för SUI-insättare.
Enligt teamet frös de det drabbade kontraktet direkt. Kärnlåne- och utlåningspooler förblev orörda. Användarnas insättningar fanns kvar säkra på de andra Scallop-marknaderna.
Två timmar senare bekräftade Scallop att frysningen för kärnkontrakten hade hävts. Uttag och insättningar började igen klockan 14:42 UTC.
De flesta användare på Sui-nätverket påverkades inte av morgonens händelser.
“Scallop kommer att täcka 100% av förlusten,” skrev penningmarknaden själva.
Gammal paketeringskod från 2023 låg bakom angreppet
Oberoende analys på kedjan pekar på ett gammalt V2-poolpaket som ingången. Scallop publicerade koden i november 2023, mer än 17 månader före attacken. På Sui är distribuerade paket oföränderliga. Gamla versioner kan kallas om de inte spärras genom versionshantering.
Felet handlade om en oinitierad last_index-räknare som spårar ackumulerade belöningar för insättare. Angriparen satsade ungefär 136 000 sSUI för att utnyttja den.
Den här beräkningen såg på positionen som om den hade funnits sedan poolen startade i augusti 2023.
Poolindexet hade vuxit till cirka 1,19 miljarder under 20 månader. Det gjorde att angriparen kunde ta ut cirka 162 biljoner belöningspoäng. De växlades en-till-en till 150 000 SUI från belöningspoolen.
Transaktionshashen 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL visar det direkta kedjebeviset för uttaget.
Ett känt mönster inom Sui DeFi
Händelsen följer efter en serie Sui-angrepp de senaste veckorna. Volo Protocol förlorade ungefär 3,5 miljoner USD tidigare i månaden efter ett liknande angrepp på kringkod. Alla fallen riktade sig mot sidokontrakt, inte själva kärnlogiken i protokollet.
Det hände också en vecka efter en större bryggincident på Ethereum, där cirka 292 miljoner USD i obackade flytande restaking-token skapades. Båda dessa attacker skedde under helger när likviditeten är låg och svarstiderna långsamma.
Varken Sui Foundation eller Mysten Labs har kommenterat händelsen offentligt.
För Scallop verkar de ekonomiska skadorna ändå vara begränsade. Protokollet har bekräftat att det tar hela förlusten utan att sänka användarnas avkastning.
Teamet har inte kommit med en fullständig rapport än. En kommande granskning av alla gamla paket lär forma hela Sui DeFi:s svar.
Den djupare frågan gäller hur Sui-utvecklare ska hantera oföränderliga koder och glömda attackytor.
