Scallop, một giao thức cho vay trên mạng Sui, đã cam kết bồi thường đầy đủ cho người dùng sau khi một vụ tấn công rút cạn 150.000 mã thông báo SUI trị giá khoảng 142.000 USD từ một hợp đồng phần thưởng cũ vào ngày 26 tháng 4.
"Scallop sẽ chi trả hoàn toàn 100% khoản lỗ", thị trường tiền tệ này cho biết trong một tuyên bố trên X, đồng thời cho biết thêm rằng các hoạt động cốt lõi đã được khôi phục trong vòng chưa đầy hai giờ.
Lỗ hổng này được truy xuất từ một gói spool V2 17 tháng tuổi, được xuất bản vào tháng 11 năm 2023, có chứa bộ đếm last_index chưa được khởi tạo. Bằng cách stake khoảng 136.000 sSUI, kẻ tấn công đã có thể thao túng hợp đồng để nhận phần thưởng như thể vị thế đó đã tồn tại từ tháng 8 năm 2023, làm cạn kiệt toàn bộ bể phần thưởng. Các bể cho vay và vay cốt lõi không bị ảnh hưởng.
Vụ tấn công nhấn mạnh một lỗ hổng dai dẳng trong lĩnh vực DeFi, nơi các hợp đồng thông minh cũ, không thể thay đổi có thể trở thành các bề mặt tấn công bị lãng quên. Sự cố này diễn ra sau một vụ tấn công tương tự trị giá 3,5 triệu USD tại Volo Protocol trên Sui và góp phần vào một tháng mà các vụ hack DeFi đã vượt quá 600 triệu USD, làm dấy lên câu hỏi về việc kiểm toán và quản lý vòng đời của mã blockchain trong toàn ngành.
Vụ tấn công, được ghi lại trong mã băm giao dịch 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL, không ảnh hưởng đến cơ sở hạ tầng cho vay chính hoặc tiền gửi của người dùng Scallop. Nhóm đã đóng băng hợp đồng bị ảnh hưởng lúc 12:50 UTC và đã khôi phục tất cả các dịch vụ vào lúc 14:42 UTC.
Phân tích độc lập tiết lộ rằng lỗi tập trung vào việc hợp đồng cũ xử lý khoản stake mới của kẻ tấn công như thể nó đã kiếm được phần thưởng trong 20 tháng. Điều này cho phép kẻ khai thác nhận được một lượng phần thưởng không cân xứng, quy đổi lấy 150.000 SUI có trong bể. Sự cố này đã thu hút sự chú ý đến rủi ro của việc để các hợp đồng cũ, không sử dụng nhưng vẫn có thể gọi hoạt động trên chuỗi, một thách thức đặc biệt đối với các blockchain không thể thay đổi như Sui.
Sự cố Scallop là vụ việc mới nhất trong chuỗi các vụ tấn công trên mạng Sui, bao gồm khoản lỗ 3,5 triệu USD gần đây tại Volo Protocol, cũng liên quan đến một hợp đồng ngoại vi. Tháng 4 năm 2026 là một tháng tàn khốc đối với bảo mật DeFi, với tổng thiệt hại từ các vụ hack vượt quá 606 triệu USD qua 13 sự cố. Điều này đưa tháng 4 đi đúng hướng để trở thành một trong những tháng tồi tệ nhất đối với bảo mật DeFi, gợi nhớ đến các sự cố lớn như sự kiện mất mốc Kelp DAO trị giá 292 triệu USD trên Aave.
Sau vụ tấn công, kẻ tấn công được cho là đã liên hệ với nhóm Scallop, đề xuất trả lại 80% số tiền bị đánh cắp để đổi lấy phần thưởng white-hat. Nhóm cũng đang xem xét cách lỗ hổng bị bỏ lỡ mặc dù đã có các cuộc kiểm toán bảo mật trước đó bởi các công ty bao gồm OtterSec và MoveBit. Cả Sui Foundation và Mysten Labs đều không đưa ra tuyên bố công khai về vấn đề này.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
