Scallop Exploit ने पुराने Contract के ज़रिए 150K SUI निकाले, 17 महीनों से छिपी थी कमज़ोरी
Scallop ने लक्षित एक्सप्लॉइट की पुष्टि की: sSUI रिवॉर्ड्स पूल से 150,000 SUI टोकन निकाले गए।
Sui-आधारित DeFi प्रोटोकॉल Scallop ने पुष्टि की है कि वह एक एक्सप्लॉइट का निशाना बना, जिसने उसके sSUI रिवॉर्ड्स पूल से लगभग 150,000 SUI निकाल लिए और एक डेप्रिकेटेड स्मार्ट कॉन्ट्रैक्ट के अंदर छिपे एक पुराने बग को उजागर किया।
प्रोटोकॉल के आधिकारिक बयान के अनुसार, उन्होंने पाया कि हमलावर ने उनके सक्रिय कोडबेस और मानक SDK इंटरफेस को पूरी तरह से दरकिनार कर दिया। इसके बजाय, उसने एक डेप्रिकेटेड V2 पैकेज वर्शन को कॉल किया जो नवंबर 2023 का था, जो अभी भी ऑन-चेन था लेकिन महीनों से उपयोग में नहीं था।
इस स्तर की सटीकता ने पूरे इकोसिस्टम में काफी ध्यान आकर्षित किया है। यह एक्सप्लॉइट या तो गहरी रिवर्स इंजीनियरिंग का संकेत देता है या किसी को कॉन्ट्रैक्ट आर्किटेक्चर की गहरी जानकारी थी।
सबसे उल्लेखनीय बात यह है कि यह भेद्यता लगभग 17 महीनों तक अनदेखी रही क्योंकि इकोसिस्टम नए कॉन्ट्रैक्ट वर्शन पर चला गया था। Scallop ने Twitter पर इस घटना की पुष्टि की और कहा कि अभी उपयोगकर्ता सुरक्षित हैं क्योंकि तत्काल नियंत्रण उपाय लागू किए गए हैं।
दोषपूर्ण रिवॉर्ड कैलकुलेशन मेकेनिज्म का शोषण
यह एक्सप्लॉइट डेप्रिकेटेड कॉन्ट्रैक्ट के रिवॉर्ड कैलकुलेशन लॉजिक में एक गंभीर खामी दर्शाता है। यह "spool index" नामक चीज़ का उपयोग करता है, जो एक निरंतर बढ़ने वाला मान है जो उस पूल में समय के साथ संचित कुल रिवॉर्ड्स को दर्शाता है।
सामान्य संचालन के दौरान, हर यूजर अकाउंट स्टेक करते समय एक last_index रखता है। रिवॉर्ड्स की गणना वर्तमान इंडेक्स और संग्रहीत मान के बीच के अंतर पर की जाती है, ताकि कोई भी यूजर स्टेकिंग शुरू करने से पहले रिवॉर्ड्स अर्जित न कर सके।
हालांकि पुराने V2 पैकेज में, नए बनाए गए spool अकाउंट कभी इनिशियलाइज़ नहीं किए गए; last_index हमेशा शून्य रहा। और इस त्रुटि ने एक बड़ा खामियाज़ा प्रदान किया।
पूल खाली होने से पॉइंट्स की भारी उछाल
इस बग के परिणाम तत्काल और भयावह थे। spool index लगभग 20 महीनों में करीब 1.19 अरब तक पहुंच गया था। हमलावर को 136,000 sSUI स्टेक किए जाने के साथ समान रूप से 162 ट्रिलियन रिवॉर्ड पॉइंट्स मिले।
इसे और बढ़ाते हुए, रिवॉर्ड्स पूल में 1:1 रूपांतरण अनुपात था जिससे हर रिवॉर्ड पॉइंट सीधे SUI टोकन में बदल जाता था। इसने हमलावर को कृत्रिम मुद्रास्फीति के माध्यम से प्राप्त पॉइंट्स को वास्तविक संपत्तियों में सहजता से नकद करने में सक्षम बनाया।
इस एक्सप्लॉइट ने रिवॉर्ड्स पूल को खाली कर दिया, जिसमें उस समय लगभग 150,000 SUI थे। हालांकि हमलावर के तर्कसंगत रिवॉर्ड्स पूल बैलेंस से कहीं अधिक थे, केवल उपलब्ध तरलता ही निकाली गई।
अपरिवर्तनीय कॉन्ट्रैक्ट एक स्थायी अटैक सरफेस बनाते हैं
यह घटना Sui इकोसिस्टम में डिप्लॉय किए गए पैकेज के साथ मौजूद एक व्यवस्थागत चुनौती को दर्शाती है: डिप्लॉय किए गए पैकेज अपरिवर्तनीय हैं। और जब एक स्मार्ट कॉन्ट्रैक्ट ऑन-चेन जाता है, तो उसे हटाया या संशोधित नहीं किया जा सकता। सभी वर्शन, पुराने और नए, हमेशा के लिए कॉल करने योग्य रहते हैं।
जबकि Scallop ने अपने SDK के माध्यम से उपयोगकर्ताओं को एक नए, सुरक्षित पैकेज पर रीडायरेक्ट किया, पुराना V2 कॉन्ट्रैक्ट अभी भी देखने योग्य था। Spooled और RewardsPool ऑब्जेक्ट शेयर्ड हैं, इसलिए हमलावर अपडेटेड लॉजिक को पूरी तरह से बायपास करने में सक्षम था क्योंकि उन पर कोई वर्शन प्रतिबंध नहीं है।
इस प्रकार की भेद्यता, जिसे "stale package" जोखिम के रूप में पुनर्वर्गीकृत किया गया है, कई DeFi सिस्टम के लिए एक महत्वपूर्ण अंध बिंदु को उजागर करती है। लीगेसी कॉन्ट्रैक्ट स्थायी अटैक वेक्टर हो सकते हैं क्योंकि शेयर्ड ऑब्जेक्ट में कोई स्पष्ट वर्शन चेक शामिल नहीं हैं।
व्यापक गैर-मूल भेद्यता पैटर्न सक्रिय
Scallop एक्सप्लॉइट एक घटना है, न कि अप्रैल भर चली एक बड़ी प्रवृत्ति का अंतहीन परिणाम। हाल के कई हमले मुख्य प्रोटोकॉल लॉजिक से नहीं बल्कि परिधीय या अनदेखे पहलुओं से उत्पन्न हुए हैं। KelpDAO के RPC इन्फ्रास्ट्रक्चर में भेद्यताएं, Litecoin के लिए प्राइवेसी लेयर (MWEB) और Aethir के एडेप्टर सिस्टम में एक्सेस कंट्रोल बग इसके कुछ उदाहरण हैं।
सभी मामलों में, स्रोत मुख्य कॉन्ट्रैक्ट के बाहर और अन्य द्वितीयक या लीगेसी मॉड्यूल में था। ऐसे पैटर्न का उपयोग यह संकेत देता है कि विरोधियों ने अपनी रणनीति बदल दी है। हैकर्स उन मुख्य कॉन्ट्रैक्ट पर कम समय बिता रहे हैं जिनका बहुत ऑडिट होता है, और इकोसिस्टम के उन किनारों पर हमला करने में अधिक समय बिता रहे हैं जिनकी परिधि की निगरानी बहुत कमजोर है। इसके लिए डेवलपर्स और ऑडिटर्स के लिए एक प्रतिमान बदलाव की आवश्यकता है। केवल नई डिप्लॉयमेंट को सुरक्षित करना पर्याप्त नहीं है, सभी ऐतिहासिक कॉन्ट्रैक्ट, इंटीग्रेशन पॉइंट्स और इन्फ्रास्ट्रक्चर घटकों को सक्रिय खतरे की सतह के रूप में माना जाना चाहिए।
Scallop द्वारा पूर्ण मुआवजा और सिस्टम की रिकवरी
Scallop ने एक्सप्लॉइट का जवाब देने में त्वरित और निर्णायक दृष्टिकोण अपनाया। हमले के बाद प्रभावित कॉन्ट्रैक्ट को तुरंत फ्रीज कर दिया गया, जिसका अर्थ है कि इस शोषण से केवल एक रिवॉर्ड्स पूल प्रभावित हुआ था।
समूह ने पुष्टि की कि मुख्य कॉन्ट्रैक्ट अभी भी सुरक्षित हैं और किसी भी यूजर की जमा राशि से समझौता नहीं हुआ है। अन्य पूल अप्रभावित रहे और प्रोटोकॉल के मुख्य कार्य अप्रभावित हिस्सों के अनफ्रीज होते ही सक्रिय हो गए।
उल्लेखनीय रूप से, Scallop ने एक्सप्लॉइट के परिणामस्वरूप हुए नुकसान का 100 प्रतिशत मुआवजा देने का वचन दिया है। यह प्रतिज्ञा अप्रत्याशित सुरक्षा खामियों को ठीक करने में जवाबदेही दर्शाती है और उपयोगकर्ता विश्वास पुनः प्राप्त करने का लक्ष्य रखती है।
जमा और निकासी फिर से शुरू हो गई है, जो सुझाव देती है कि सिस्टम की स्थिरता बहाल हो गई है।
DeFi सुरक्षा की दुनिया से सबक
Scallop घटना पूरे DeFi इकोसिस्टम के लिए एक महत्वपूर्ण सबक का प्रतीक है। यदि एक अपरिवर्तनीय स्मार्ट कॉन्ट्रैक्ट वातावरण में काम कर रहे हैं, तो सुरक्षा कभी भी एक बार सेट करके भूल जाने वाला मामला नहीं है।
आपके डिप्लॉय किए गए कॉन्ट्रैक्ट का कोई भी वर्शन लाइव सिस्टम का हिस्सा है। यहां तक कि निष्क्रिय कोड भी महीनों या वर्षों बाद विफलता का एकल बिंदु बन सकता है, यदि उचित सुरक्षा उपायों को आसानी से बायपास किया जा सके।
आगे बढ़ते हुए, इकोसिस्टम को कठोर वर्शन कंट्रोल प्रथाओं, लीगेसी कॉन्ट्रैक्ट पर निरंतर निगरानी और सभी पूर्व डिप्लॉयमेंट को कवर करने के लिए ऑडिट स्कोप को व्यापक बनाने की आवश्यकता है। जैसा कि एक्सप्लॉइट दिखाता है, हमलावर शोषण योग्य कमजोरियों को खोजने के लिए प्रोटोकॉल के इतिहास में गहराई तक जाने के लिए तैयार हैं।
अंत में, विकेंद्रीकृत वित्त केवल उतना ही टिकाऊ होगा जितने वे प्रोटोकॉल जो इस बदलते खतरे के परिदृश्य के अनुकूल हो सकते हैं।
खुलासा: यह ट्रेडिंग या निवेश सलाह नहीं है। कोई भी क्रिप्टोकरेंसी खरीदने या किसी भी सेवा में निवेश करने से पहले हमेशा अपना शोध करें।
नवीनतम Crypto, NFT, AI, साइबरसुरक्षा और Metaverse समाचारों से अपडेट रहने के लिए Twitter पर हमें फॉलो करें @themerklehash !
The post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months appeared first on The Merkle News.
आपको यह भी पसंद आ सकता है
Scallop Protocol को फ्लैश लोन और ऑरेकल मैनिपुलेशन अटैक के संयोजन में $142K का नुकसान हुआ
लाइटकॉइन को नेटवर्क बग के कारण डिनायल-ऑफ-सर्विस अटैक का सामना करना पड़ा — विवरण
