Scallop, sebuah money market di Sui Network, kehilangan sekitar 150.000 SUI pada hari Minggu setelah seorang penyerang menguras kontrak reward yang sudah tidak digunakan lagi dan terhubung ke sSUI spool milik protokol tersebut.
Tim membekukan kontrak yang terdampak hanya dalam beberapa menit dan berjanji akan mengganti seluruh kerugian dari kas tim mereka. Operasional utama kembali berjalan normal dalam waktu kurang dari dua jam.
Eksploitasi Sui Lainnya Serang Kode Pendukung, Bukan Protokol Inti
Scallop mengungkapkan insiden ini pada pukul 12:50 UTC tanggal 26 April melalui pengumuman publik di X. Penyerang menargetkan kontrak sampingan yang digunakan sebagai rewards untuk sSUI spool, yaitu lapisan insentif protokol ini bagi para deposan SUI.
Tim menegaskan bahwa kontrak yang terdampak langsung dibekukan begitu insiden terjadi. Pool lending dan borrowing utama tetap aman. Seluruh dana user di pasar Scallop lainnya juga tetap terlindungi.
Dua jam kemudian, Scallop memastikan pembekuan terhadap kontrak inti sudah dicabut. Proses penarikan dan penyetoran kembali berjalan normal pada pukul 14:42 UTC.
Kebanyakan pengguna di jaringan Sui tidak terdampak oleh kejadian pagi itu.
“Scallop akan menanggung sepenuhnya 100% dari kerugian tersebut,” terang money market ini melalui pengumuman.
Kode Paket Lama dari 2023 Menjadi Sumber Eksploitasi
Analisis independen on-chain menunjukkan bahwa paket V2 spool yang sudah tidak digunakan lagi menjadi pintu masuknya. Scallop merilis kode tersebut pada bulan November 2023, lebih dari 17 bulan sebelum serangan terjadi. Di Sui, paket yang sudah di-deploy sifatnya tidak bisa diubah. Versi lama masih dapat digunakan kecuali secara eksplisit dibatasi melalui versi.
Bugs terjadi karena counter last_index belum diinisialisasi, di mana counter ini berfungsi melacak total reward yang terkumpul oleh staker. Penyerang melakukan staking sekitar 136.000 sSUI untuk mengeksploitasi bug ini.
Perhitungan matematika menganggap posisi ini seolah-olah sudah ada sejak spool pertama kali diluncurkan di Agustus 2023.
Indeks spool sudah tumbuh menjadi sekitar 1,19 miliar selama 20 bulan. Hal ini memungkinkan pelaku mengeksploitasi untuk memperoleh sekitar 162 triliun poin reward, yang semuanya bisa ditukar satu banding satu menjadi 150.000 SUI dari pool reward.
Hash transaksi 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL menjadi bukti on-chain dari aksi pencurian ini.
Pola Serupa Terulang pada Sui DeFi
Insiden ini mengikuti rangkaian eksploitasi di Sui dalam beberapa minggu terakhir. Volo Protocol mengalami kerugian sekitar US$3,5 juta awal bulan ini dalam insiden sampingan yang mirip. Setiap kasus selalu menyerang kontrak sampingan, bukan logika inti protokol.
Insiden juga terjadi satu minggu setelah peristiwa besar pada bridge Ethereum, yang menyebabkan sekitar US$292 juta token liquid restaking tanpa jaminan. Kedua serangan ini berlangsung saat akhir pekan, di mana likuiditas menipis dan respons cenderung lambat.
Baik Sui Foundation maupun Mysten Labs belum mengeluarkan pernyataan publik terkait hal ini.
Bagi Scallop, kerugian finansial ini nampak bisa ditangani. Protokol memastikan mereka akan menanggung seluruh kerugian tanpa mengurangi hasil yield para user.
Tim belum merilis laporan post-mortem lengkap. Kemungkinan audit menyeluruh terhadap semua paket lama akan segera dipublikasikan untuk menentukan respons lebih lanjut di ekosistem Sui DeFi.
Pertanyaan lebih dalam, bagaimana sebaiknya para builder Sui mengelola kode yang tidak bisa diubah dan risiko serangan di permukaan yang sudah terlupakan.
