क्रिप्टो खरीदें मार्केट स्पॉट फ़्यूचर्सGOLD कमाएँ इवेंट सेंटर

अधिक

स्कैलप प्रोटोकॉल को रविवार को एक फ्लैश लोन एक्सप्लॉइट का शिकार होना पड़ा। हमलावर ने कथित तौर पर लगभग $142,000 (150,000 SUI) निकाल लिए, जो एक अत्यधिक लक्षितस्कैलप प्रोटोकॉल को रविवार को एक फ्लैश लोन एक्सप्लॉइट का शिकार होना पड़ा। हमलावर ने कथित तौर पर लगभग $142,000 (150,000 SUI) निकाल लिए, जो एक अत्यधिक लक्षित

Scallop Protocol को फ्लैश लोन और ऑरेकल मैनिपुलेशन अटैक के संयोजन में $142K का नुकसान हुआ

सोर्स: Cryptopolitan

2026/04/27 05:50

4 मिनट पढ़ें

शेयर करें

SUI$0.9548+2.11%

इस कॉन्टेंट के संबंध में प्रतिक्रिया या चिंताओं के लिए, कृपया crypto.news@mexc.com पर हमसे संपर्क करें

Scallop Protocol पर रविवार को एक फ्लैश लोन एक्सप्लॉइट का हमला हुआ। हमलावर ने कथित तौर पर लगभग $142,000 (150,000 SUI) निकाल लिए, जो एक अत्यधिक लक्षित ओरेकल मैनिपुलेशन अटैक प्रतीत होता है। इसने प्रोटोकॉल के मुख्य कॉन्ट्रैक्ट्स को नहीं छुआ, लेकिन एक गहरी डिज़ाइन खामी को उजागर कर दिया।

एक हमलावर ने कथित तौर पर Scallop के sSUI रिवॉर्ड्स पूल से जुड़े एक डेप्रिकेटेड साइड कॉन्ट्रैक्ट का फायदा उठाया। उनकी टीम का कहना है कि मुख्य प्रोटोकॉल सुरक्षित है और सभी यूज़र डिपॉज़िट सुरक्षित हैं। हालांकि, नुकसान पूरी तरह उसी अलग-थलग हिस्से तक सीमित है।

Scallop Protocol lost $142K in a flash loan merged with an oracle manipulation attac

पुराना कोड या ओरेकल की खामी?

विश्लेषकों का सुझाव है कि मुख्य समस्या Scallop के कस्टम ओरेकल प्राइस फीड्स में हेरफेर थी। इससे हमलावर को SUI/USDC दरों को कृत्रिम रूप से कम करने और उन विकृत कीमतों पर संपत्ति उधार लेने का मौका मिला। फिर उसने उसी ट्रांजैक्शन में फ्लैश लोन चुका दिया। अंत में, आरोपी अंतर की राशि लेकर चला गया।

यह एक परिचित DeFi अटैक पैटर्न का अनुसरण करता है; हालांकि, इस घटना में निष्पादन असामान्य रूप से सटीक था। हमलावर ने सक्रिय कोड या मानक SDK रूट्स को लक्षित नहीं किया। उन्होंने नवंबर 2023 के एक पुराने V2 कॉन्ट्रैक्ट के साथ इंटरैक्ट किया। यह एक ऐसा वर्शन था जिसे छोड़ दिया गया था लेकिन ऑन-चेन कॉल करने योग्य बना रहा। Sui सभी डिप्लॉय किए गए कॉन्ट्रैक्ट वर्शन को अपरिवर्तनीय और सुलभ रखता है। इसीलिए यह पुराना पैकेज एक छिपी हुई अटैक सर्फेस बन गया।

एक्सप्लॉइट के बाद Sui की कीमत पर कोई असर नहीं पड़ा। पिछले 24 घंटों में यह लगभग 2% ऊपर है। प्रेस टाइम पर Sui $0.94 पर ट्रेड हो रहा है। इसका 24 घंटे का ट्रेडिंग वॉल्यूम लगभग $187 मिलियन के आसपास है।

एक पोस्ट में एक विशेषज्ञ ने उल्लेख किया कि खामी खुद सूक्ष्म लेकिन गंभीर थी। डेप्रिकेटेड कॉन्ट्रैक्ट में, एक नया अकाउंट बनाते समय एक प्रमुख वेरिएबल "last_index" कभी इनिशियलाइज़ नहीं किया गया। इससे हमलावर को रिवॉर्ड्स का दावा करने का मौका मिला, जैसे कि वे पूल की शुरुआत से ही स्टेकिंग कर रहे थे।

समय के साथ रिवॉर्ड इंडेक्स बढ़ने के कारण, हमलावर ने एक ही ट्रांजैक्शन में पूरे रिवॉर्ड पूल को अपने नाम कर लिया। उन्होंने उल्लेख किया कि 20 महीनों में Spool इंडेक्स 1.19B तक बढ़ गया।

हमलावर ने 136K sSUI स्टेक किए और उन्हें 162 ट्रिलियन पॉइंट्स क्रेडिट हुए। हालांकि, रिवॉर्ड्स पूल 1:1 एक्सचेंज रेट (अंश और हर दोनों = 1) पर चल रहा था, इसलिए 162T पॉइंट्स सीधे 162K SUI के बराबर रिवॉर्ड्स में बदल गए। पूल में केवल 150K SUI थे और वे सभी निकाल लिए गए।

ऑन-चेन डेटा दर्शाता है कि चुराए गए फंड्स को Sui पर Tornado Cash जैसी एक मिक्सिंग सर्विस के माध्यम से जल्दी से रूट किया गया। इससे रिकवरी और भी मुश्किल हो जाती है।

हैक के बाद Scallop वापस ऑनलाइन

Scallop की टीम ने अस्थायी रूप से ऑपरेशन रोककर जवाब दिया। फिर उन्होंने बताया कि उन्होंने मुख्य कॉन्ट्रैक्ट्स को अनफ्रीज़ कर दिया है और सभी ऑपरेशन फिर से शुरू हो गए हैं। एक X पोस्ट ने बताया कि यह समस्या मुख्य प्रोटोकॉल से संबंधित नहीं थी और एक डेप्रिकेटेड रिवॉर्ड्स कॉन्ट्रैक्ट तक ही सीमित थी। अंत में, यूज़र डिपॉज़िट प्रभावित नहीं हुए और सभी फंड्स सुरक्षित हैं। निकासी और जमा अब सामान्य रूप से काम कर रहे हैं।

हमलावर ने कथित तौर पर टीम से संपर्क किया और व्हाइट-हैट बाउंटी के बदले में 80% फंड्स वापस करने की पेशकश की। इस घटना की अब जांच की जा रही है। टीम यह जांच करेगी कि यह खामी OtterSec और MoveBit जैसी फर्मों द्वारा पूर्व ऑडिट में कैसे पास हो गई।

Cryptopolitan ने बताया कि अप्रैल 2026 की कई बड़ी घटनाएं मुख्य प्रोटोकॉल लॉजिक से नहीं आई हैं। वे पुराने कॉन्ट्रैक्ट्स, अडैप्टर्स या इंफ्रास्ट्रक्चर लेयर्स से उभरीं जो सुलभ हैं लेकिन नजरअंदाज की गई हैं। अप्रैल के मध्य तक संचयी नुकसान $750 मिलियन से अधिक हो गया। अकेले अप्रैल 2026 में 12 बड़ी घटनाओं में $600 मिलियन से अधिक के चुराए गए फंड्स का हिसाब है।

Kelp DAO और Drift Protocol मिलकर अप्रैल के नुकसान का लगभग 95% हिस्सा हैं। Kelp पर हमले के परिणामस्वरूप Aave पर $177 मिलियन का बैड डेट हुआ। इस बीच, Arbitrum की सिक्योरिटी काउंसिल ने चुराए गए फंड्स में से 30,766 ETH (लगभग $71 मिलियन मूल्य) को सफलतापूर्वक फ्रीज़ कर दिया।

Hyperliquid अभी भी DeFi श्रेणी में सबसे बड़ा टोकन है। पिछले 30 दिनों में HYPE की कीमत 10% ऊपर है। प्रेस टाइम पर यह $41.95 पर ट्रेड हो रहा है। Chainlink दूसरे स्थान पर है। LINK लगभग $9.4 के आसपास ट्रेड हुआ।

आपका बैंक आपके पैसे का उपयोग कर रहा है। आपको बचा-खुचा मिल रहा है। अपना खुद का बैंक बनने पर हमारा मुफ्त वीडियो देखें।

Don't Miss $200,000 U-Fest

Get mystery boxes, 12% APR & $200 new user gifts!

अस्वीकरण: इस साइट पर बाहर से पोस्ट किए गए लेख, सार्वजनिक प्लेटफार्म से लिए गए हैं और केवल सूचना देने के उद्देश्यों के लिए उपलब्ध कराए गए हैं. वे निश्चित तौर पर MEXC के विचारों को नहीं दिखाते. सभी संबंधित अधिकार मूल लेखकों के पास ही हैं. अगर आपको लगता है कि कोई कॉन्टेंट तीसरे पक्ष के अधिकारों का उल्लंघन करता है, तो कृपया उसे हटाने के लिए crypto.news@mexc.com से संपर्क करें. MEXC किसी कॉन्टेंट की सटीकता, पूर्णता या समयबद्धता के संबंध में कोई गारंटी नहीं देता है और प्रदान की गई जानकारी के आधार पर की गई किसी भी कार्रवाई के लिए जिम्मेदार नहीं है. यह कॉन्टेंट वित्तीय, कानूनी या अन्य प्रोफ़ेशनल सलाह नहीं है, न ही इसे MEXC द्वारा अनुशंसा या समर्थन माना जाना चाहिए.