Експлойт Scallop DeFi виявляє ризик застарілих контрактів на тлі збитків у $606 млн у квітні 2026 року

TLDR:

• Збиток Scallop у розмірі $140K стався через застарілий контракт винагород, а не через основну інфраструктуру протоколу кредитування.
• У квітні 2026 року зафіксовано 13 експлойтів DeFi, що призвело до перевищення загальних галузевих збитків позначки $606M — найгірший місяць з часів Bybit.
• Scallop пройшов повний аудит Sui Foundation у лютому 2025 року, однак застарілий контракт залишався відкритим ризиком.
• Експерти рекомендують розподіляти кошти, уникати застарілих контрактів і регулярно виводити винагороди, щоб зменшити ризики.

Scallop, найбільший протокол кредитування в мережі Sui, зазнав експлойту 26 квітня 2026 року, внаслідок чого збитки склали приблизно $140 000.

Атака була спрямована на застарілий контракт винагород, а не на сам основний протокол. Після злому команда Scallop заморозила уражені контракти, виявила вразливість і відновила роботу.

Депозити користувачів не постраждали протягом усього інциденту. Ця подія доповнює список експлойтів DeFi, зафіксованих лише у квітні 2026 року.

Застарілий контракт стає точкою входу для зловмисників

Експлойт Scallop не порушив основну інфраструктуру протоколу. Натомість зловмисник знайшов пробіл у старому, невикористовуваному контракті винагород.

Ця відмінність є важливою, оскільки демонструє, як застарілий код може з часом стати тягарем. Протоколи часто виводять з обігу певні компоненти, не видаляючи їх повністю з мережі.

Scallop пройшов повний аудит, проведений Sui Foundation у лютому 2025 року. Попри цю перевірку, застарілий контракт залишався слабкою ланкою.

Криптоаналітик Crypto Patel зазначив у X, що «аудит не означає безпеку», наводячи як приклади Scallop і Kelp DAO. Kelp DAO зазнав збитків у розмірі $292 мільйонів, попри проходження двох окремих аудитів перед злом.

Команда Scallop відреагувала швидко, ізолювавши помилку та призупинивши відповідні контракти. Роботу було відновлено невдовзі після цього, а команда підтвердила, що кошти користувачів не перебували під загрозою.

Швидке реагування допомогло обмежити збитки лише застарілим компонентом. Тим не менш, інцидент привернув увагу до того, як старі контракти дедалі частіше використовуються як вектори атак.

Ця тенденція стала більш поширеною в екосистемі Sui протягом останніх місяців. Розробники та дослідники безпеки почали позначати невикористовувані контракти як зростаючу проблему.

Протоколи, які залишають застарілі компоненти активними без належної деактивації, стикаються з підвищеним ризиком. Випадок Scallop слугує практичним орієнтиром для цієї тривалої дискусії.

Квітень 2026 року фіксує найгірший місяць для збитків DeFi з часів Bybit

Квітень 2026 року виявився складним місяцем для широкого сектору DeFi. Галузеві збитки перевищили $606 мільйонів, що робить його найгіршим місяцем з часів інциденту з Bybit.

Експлойт Scallop є 13-м зафіксованим зломом DeFi цього місяця. Така частота вказує на системну проблему, з якою стикаються децентралізовані фінансові платформи.

Мережа Sui, зокрема, зазнала повторних інцидентів протягом минулого року. Cetus DEX втратив $223 мільйони у травні 2025 року, після чого Nemo Protocol втратив $2,4 мільйона у вересні 2025 року.

Volo Protocol зазнав збитків на $3,5 мільйона 22 квітня 2026 року, лише за кілька днів до зломи Scallop. Ці інциденти відображають повторювану закономірність вразливостей у протоколах на основі Sui.

Управління ризиками стало нагальною темою серед учасників DeFi. Crypto Patel рекомендував уникати застарілих контрактів і регулярно виводити винагороди, а не залишати їх без руху.

Розподіл коштів між кількома протоколами замість їх концентрації на одній платформі також знижує ризики. Моніторинг офіційних оголошень протоколу перед внесенням депозитів додає ще один рівень захисту.

Широка спільнота DeFi продовжує вивчати, як можна посилити процеси аудиту. Проходження аудиту не гарантує, що протокол не містить коду, який можна використати в зловмисних цілях, особливо у застарілих компонентах.

Постійні перевірки безпеки, що охоплюють застарілі контракти, стають рекомендованою практикою. Події квітня 2026 року, ймовірно, вплинуть на підхід протоколів до управління життєвим циклом контрактів у майбутньому.

Публікація Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak вперше з'явилася на Blockonomi.