Otro Exploit de DeFi Drena 150,000 SUI de un Contrato Obsoleto de Scallop

Scallop, un mercado monetario de DeFi en la Red Sui, sufrió un exploit que drenó aproximadamente 150,000 SUI de un contrato de recompensas obsoleto. El atacante se dirigió a un contrato secundario relacionado con el 'sPOOL' de sSUI, que es la capa de incentivos del protocolo para los depositantes de SUI. El equipo de Scallop congeló rápidamente el contrato afectado y confirmó que los pools principales de préstamos y empréstitos, así como los depósitos de los usuarios, permanecieron seguros. Las operaciones principales se reanudaron en menos de dos horas, y el equipo prometió un reembolso completo desde su tesorería, asegurando a los usuarios que sus fondos no se vieron afectados y que sus rendimientos no se diluirían. El exploit aprovechó un error en un contador 'last_index' no inicializado dentro de un paquete de 'spool' V2 desplegado en noviembre de 2023, lo que permitió al atacante reclamar una cantidad desproporcionadamente grande de recompensas. Este incidente sigue un patrón de exploits recientes en el ecosistema DeFi de Sui que se dirigen a código periférico en lugar de la lógica del protocolo central, lo que pone de relieve las preocupaciones sobre la gestión de código inmutable y las posibles superficies de ataque en la red Sui.

(Fuente：BeInCrypto)