Giao thức Scallop đã bị tấn công bằng hình thức khai thác Khoản vay nhanh vào Chủ nhật. Kẻ tấn công được cho là đã rút khoảng 142.000 đô la (150.000 đô la Sui ) trong một cuộc tấn Oracle Manipulation có mục tiêu cao. Cuộc tấn công này không ảnh hưởng đến các hợp đồng cốt lõi của giao thức nhưng đã phơi bày một lỗ hổng thiết kế sâu hơn.
Kẻ tấn công được cho là đã khai thác một hợp đồng phụ lỗi thời liên kết với nhóm phần thưởng sSUI của Scallop. Nhóm của họ khẳng định rằng giao thức cốt lõi vẫn còn nguyên vẹn và tất cả tiền gửi của người dùng đều an toàn. Tuy nhiên, thiệt hại chỉ giới hạn ở phần bị cô lập đó.
Lỗi do mã nguồn cũ hay do Oracle?
Các nhà phân tích cho rằng vấn đề cốt lõi là việc thao túng nguồn cấp dữ liệu giá tùy chỉnh của Scallop. Điều này cho phép kẻ tấn công làm giảm tỷ giá Sui / USDC một cách giả tạo và vay tài sản ở mức giá bị bóp méo đó. Sau đó, kẻ này đã trả lại Khoản vay nhanh trong cùng một giao dịch. Cuối cùng, nghi phạm đã thu về khoản chênh lệch.
Đây là một kiểu tấn công DeFi quen thuộc; tuy nhiên, việc thực thi trong trường hợp này lại chính xác đến bất thường. Kẻ tấn công không nhắm mục tiêu vào mã nguồn đang hoạt động hoặc các tuyến đường SDK tiêu chuẩn. Chúng tương tác với một hợp đồng V2 cũ hơn từ tháng 11 năm 2023. Đây là một phiên bản đã bị bỏ lại nhưng vẫn có thể gọi được on-chain. Sui giữ cho tất cả các phiên bản hợp đồng đã triển khai không thể thay đổi và có thể truy cập được. Đó là lý do tại sao gói phần mềm lỗi thời này trở thành một bề mặt tấn công tiềm ẩn.
Giá cổ phiếu Sui không hề giảm sau vụ tấn công. Nó đã tăng gần 2% trong 24 giờ qua. Tại thời điểm viết bài, Sui đang giao dịch ở mức 0,94 đô la. Khối lượng giao dịch 24 giờ của nó dao động quanh mức 187 triệu đô la.
Một chuyên gia trong một bài đăng đã đề cập rằng lỗ hổng này tuy tinh vi nhưng lại rất nghiêm trọng. Trong hợp đồng đã bị loại bỏ, một biến quan trọng “last_index” không bao giờ được khởi tạo khi tạo tài khoản mới. Điều này cho phép kẻ tấn công nhận được phần thưởng như thể họ đã Staking từ khi bắt đầu hoạt động của pool.
Do chỉ số phần thưởng tăng lên theo thời gian, kẻ tấn công đã tận dụng cơ hội để chiếm đoạt toàn bộ quỹ phần thưởng chỉ trong một giao dịch duy nhất. Hắn ta cho biết chỉ số Spool đã tăng lên 1,19 tỷ trong vòng 20 tháng.
Kẻ tấn công đã đặt cược 136.000 sSUI và được cộng vào tài khoản 162 nghìn tỷ điểm. Tuy nhiên, quỹ thưởng hoạt động theo tỷ lệ quy đổi 1:1 (cả tử số và mẫu số đều bằng 1), vì vậy 162 nghìn tỷ điểm được quy đổi trực tiếp thành phần thưởng trị giá 162.000 đô la Sui . Quỹ chỉ có 150.000 đô la Sui và toàn bộ số tiền đó đã bị rút hết.
Dữ liệu on-chain cho thấy số tiền bị đánh cắp đã nhanh chóng được chuyển qua một dịch vụ trộn tiền, tương tự như Tornado Cash trên Sui. Điều này khiến việc thu hồi càng trở nên khó khăn hơn.
Scallop đã hoạt động trở lại sau vụ tấn công mạng.
Nhóm của Scallop đã phản hồi bằng cách tạm thời ngừng hoạt động. Sau đó, họ thông báo đã bỏ đóng băng các hợp đồng cốt lõi và tất cả các hoạt động đã được nối lại. Một bài đăng trên X đã nhấn mạnh rằng vấn đề không liên quan đến giao thức cốt lõi và chỉ xảy ra ở một hợp đồng phần thưởng đã lỗi thời. Cuối cùng, tiền gửi tser không bị ảnh hưởng và tất cả tiền vẫn an toàn. Việc rút và gửi tiền hiện đang hoạt động bình thường.
🚨 Scallop bị ảnh hưởng bởi vụ tấn công Khoản vay nhanh trên nền Sui, mất 142.000 đô la trong vụ tấn công Oracle Manipulation
CHI TIẾT 👇
CHUYỆN GÌ ĐÃ XẢY RA THẾ?
Vào ngày 26 tháng 4 năm 2026, giao thức cho vay Scallop đã gặp phải sự cố khai thác lỗ hổng Khoản vay nhanh nhắm vào một hợp đồng phụ đã lỗi thời liên quan đến nhóm phần thưởng sSUI của nó.
>… pic.twitter.com/xoZbLzGCf0
— Sophia Hodlberg (@sophiaHodlberg) 26 tháng 4 năm 2026
Theo báo cáo, kẻ tấn công đã liên hệ với nhóm và đề nghị hoàn trả 80% số tiền để đổi lấy phần thưởng dành cho chuyên gia bảo mật mũ trắng. Vụ việc hiện đang được điều tra. Nhóm sẽ kiểm tra xem lỗ hổng này đã vượt qua các cuộc kiểm tra trước đó của các công ty như OtterSec và MoveBit như thế nào.
Trang Cryptopolitan đưa tin rằng nhiều sự cố lớn trong tháng 4 năm 2026 không bắt nguồn từ logic cốt lõi của giao thức. Chúng xuất phát từ các hợp đồng cũ, bộ điều hợp hoặc các lớp cơ sở hạ tầng vẫn có thể truy cập nhưng bị bỏ qua. Tổng thiệt hại tích lũy đã vượt quá 750 triệu đô la vào giữa tháng 4. Riêng tháng 4 năm 2026 đã ghi nhận hơn 600 triệu đô la tiền bị đánh cắp trong 12 sự cố lớn.
Kelp Các tổ chức tự trị phi tập trung (DAO) và Drift Protocol, gộp lại, chiếm khoảng 95% tổng thiệt hại trong tháng Tư. Cuộc tấn công vào Kelp đã dẫn đến khoản nợ xấu 177 triệu đô la trên AAVE. Trong khi đó, Hội đồng An ninh của Arbitrum đã đóng băng thành công 30.766 ETH (khoảng 71 triệu đô la) số tiền bị đánh cắp.
Hyperliquid vẫn là Token lớn nhất trong lĩnh vực DeFi . Giá HYPE đã tăng 10% trong 30 ngày qua. Hiện tại, giá giao dịch là 41,95 đô la. Chainlink đứng ở vị trí thứ 2. Giá LINK (Chainlink) dao động quanh mức 9,4 đô la.
