- Scallop Protocol 因 Sui 網絡上一個廢棄的獎勵合約遭到攻擊,損失了 15 萬枚 SUI 代幣。
- 核心協議和用戶存款依然安全,Scallop 承諾將利用國庫資金進行全額補償。
- 此次事件凸顯了 DeFi 中遺留代碼日益增長的風險,4 月份全行業損失已超過 6 億美元。
返回
返回
Scallop Protocol 將全額補償因漏洞導致的 15 萬枚 SUI 損失
Sui 網絡上的借貸協議 Scallop 承諾,在 4 月 26 日因一個廢棄的獎勵合約被竊取約 15 萬枚 SUI 代幣(價值約 14.2 萬美元)後,將全額補償用戶。
該貨幣市場在 X 平台的一份聲明中表示:「Scallop 將 100% 承擔全部損失,」並補充說核心業務已在不到兩小時內恢復。
該漏洞可追溯到 2023 年 11 月發佈的具有 17 個月歷史的 V2 spool 軟件包,該包包含一個未初始化的 last_index 計數器。通過質押大約 13.6 萬枚 sSUI,攻擊者能夠操縱合約,領取獎勵,就好像該頭寸自 2023 年 8 月以來就一直存在一樣,從而耗盡了整個獎勵池。核心借貸池未受影響。
此次攻擊凸顯了 DeFi 領域持續存在的漏洞,即不可更改且過時的智能合約可能成為被遺忘的攻擊面。在此之前,Sui 上的 Volo Protocol 也發生了類似的 350 萬美元攻擊事件,導致 4 月份 DeFi 黑客攻擊損失已超過 6 億美元,引發了業界對區塊鏈代碼審計和生命週期管理的質疑。
遺留代碼再次遇襲
此次攻擊的交易哈希為 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL,並未損害 Scallop 的主要借貸基礎設施或用戶存款。團隊在 UTC 時間 12:50 凍結了受影響的合約,並在 14:42 恢復了所有服務。
獨立分析顯示,該漏洞的核心在於廢棄合約將攻擊者的質押視為已賺取 20 個月的獎勵。這使得剝削者能夠索取不成比例的獎勵,兌換池中持有的 15 萬枚 SUI。該事件引起了人們對在鏈上保留舊的、未使用但仍可調用的合約風險的關注,這對於像 Sui 這樣不可篡改的區塊鏈來說是一個特殊的挑戰。
全行業的問題
Scallop 事件是 Sui 網絡上一系列攻擊中的最新一起,其中包括最近 Volo Protocol 遭受的 350 萬美元損失,該事件同樣涉及邊緣合約。2026 年 4 月對於 DeFi 安全來說是殘酷的一個月,13 起事件導致的黑客攻擊總損失超過 6.06 億美元。這使得 4 月有望成為 DeFi 安全最糟糕的月份之一,讓人想起 Aave 上發生的 2.92 億美元 Kelp DAO 脫錨事件等重大事件。
在攻擊發生後,據報導攻擊者聯繫了 Scallop 團隊,提議歸還 80% 的被盜資金,以換取白帽賞金。儘管之前由 OtterSec 和 MoveBit 等公司進行了安全審計,但該團隊仍在審查漏洞是如何被遺漏的。Sui 基金會和 Mysten Labs 均未就此事發表公開聲明。
本文僅供參考,不構成投資建議。