- Scallop Protocol 因 Sui 网络上一个废弃的奖励合约遭到攻击,损失了 15 万枚 SUI 代币。
- 核心协议和用户存款依然安全,Scallop 承诺将利用国库资金进行全额补偿。
- 此次事件凸显了 DeFi 中遗留代码日益增长的风险,4 月份全行业损失已超过 6 亿美元。
返回
返回
Scallop Protocol 将全额补偿因漏洞导致的 15 万枚 SUI 损失
Sui 网络上的借贷协议 Scallop 承诺,在 4 月 26 日因一个废弃的奖励合约被窃取约 15 万枚 SUI 代币(价值约 14.2 万美元)后,将全额补偿用户。
该货币市场在 X 平台的一份声明中表示:“Scallop 将 100% 承担全部损失,”并补充说核心业务已在不到两小时内恢复。
该漏洞可追溯到 2023 年 11 月发布的具有 17 个月历史的 V2 spool 软件包,该包包含一个未初始化的 last_index 计数器。通过质押大约 13.6 万枚 sSUI,攻击者能够操纵合约,领取奖励,就好像该头寸自 2023 年 8 月以来就一直存在一样,从而耗尽了整个奖励池。核心借贷池未受影响。
此次攻击凸显了 DeFi 领域持续存在的漏洞,即不可更改且过时的智能合约可能成为被遗忘的攻击面。在此之前,Sui 上的 Volo Protocol 也发生了类似的 350 万美元攻击事件,导致 4 月份 DeFi 黑客攻击损失已超过 6 亿美元,引发了业界对区块链代码审计和生命周期管理的质疑。
遗留代码再次遇袭
此次攻击的交易哈希为 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL,并未损害 Scallop 的主要借贷基础设施或用户存款。团队在 UTC 时间 12:50 冻结了受影响的合约,并在 14:42 恢复了所有服务。
独立分析显示,该漏洞的核心在于废弃合约将攻击者的质押视为已赚取 20 个月的奖励。这使得剥削者能够索取不成比例的奖励,兑换池中持有的 15 万枚 SUI。该事件引起了人们对在链上保留旧的、未使用但仍可调用的合约风险的关注,这对于像 Sui 这样不可篡改的区块链来说是一个特殊的挑战。
全行业的问题
Scallop 事件是 Sui 网络上一系列攻击中的最新一起,其中包括最近 Volo Protocol 遭受的 350 万美元损失,该事件同样涉及边缘合约。2026 年 4 月对于 DeFi 安全来说是残酷的一个月,13 起事件导致的黑客攻击总损失超过 6.06 亿美元。这使得 4 月有望成为 DeFi 安全最糟糕的月份之一,让人想起 Aave 上发生的 2.92 亿美元 Kelp DAO 脱锚事件等重大事件。
在攻击发生后,据报道攻击者联系了 Scallop 团队,提议归还 80% 的被盗资金,以换取白帽赏金。尽管之前由 OtterSec 和 MoveBit 等公司进行了安全审计,但该团队仍在审查漏洞是如何被遗漏的。Sui 基金会和 Mysten Labs 均未就此事发表公开声明。
本文仅供参考,不构成投资建议。