Scallop Protocol 周日遭遇闪电贷攻击。据报道,攻击者窃取了约 14.2 万美元(15 万美元Sui ),这似乎是一次针对性极强的预言机操纵攻击。此次攻击并未触及协议的核心合约,但却暴露了一个更深层次的设计缺陷。
据报道,攻击者利用了与 Scallop 的 sSUI 奖励池关联的已弃用的附加合约。他们的团队强调,核心协议保持完整,所有用户存款均安全无虞。不过,损失完全局限于该独立部分。
老旧代码还是Oracle缺陷?
分析人士认为,问题的核心在于对Scallop定制预言机价格数据源的操纵。这使得攻击者能够人为压低$ Sui / USDC汇率,并以这些扭曲的价格借入资产。随后,攻击者在同一笔交易中偿还了闪电贷。最终,嫌疑人将差价收入囊中。
这遵循了常见的 DeFi 攻击模式;然而,此次攻击的执行异常精准。攻击者并未针对活跃代码或标准 SDK 路由,而是与一个 2023 年 11 月发布的旧版 V2 合约进行了交互。该版本虽然被保留,但仍可在链上调用。Sui 会将所有已部署的合约版本设置为不可变且可访问。正因如此,这个过时的软件包才成为了一个隐藏的攻击面。
Sui 的价格在漏洞利用事件发生后并未受到冲击,反而在过去 24 小时内上涨了近 2%。截至发稿时, Sui的交易价格为 0.94 美元,24 小时交易量约为 1.87 亿美元。
一位专家在帖子中提到,这个漏洞虽然隐蔽,但后果严重。在已弃用的合约中,一个名为“last_index”的关键变量在创建新账户时从未被初始化。这使得攻击者能够像从资金池创建之初就开始质押一样,领取奖励。
随着奖励指数的不断增长,攻击者通过一次交易就将整个奖励池据为己有。他提到,Spool 指数在 20 个月内增长到了 11.9 亿。
攻击者质押了 13.6 万枚 sSUI,获得了 162 万亿点积分。然而,奖励池采用 1:1 的兑换率(分子和分母均为 1),因此 162 万亿点积分直接兑换成了价值 16.2 万枚Sui的奖励。该奖励池原本只有 15 万枚Sui ,现在全部被清空。
链上数据显示,被盗资金迅速通过类似Sui上的 Tornado Cash 的混币服务进行路由。这使得追回资金更加困难。
扇贝在黑客攻击后已恢复在线
Scallop团队随即暂停了运营。随后,他们宣布已解冻核心合约,所有运营均已恢复。一篇X帖子强调,该问题与核心协议无关,而仅限于一个已弃用的奖励合约。最终,TSER存款未受影响,所有资金仍然安全。目前,提现和存款功能均已恢复正常。
🚨 Scallop 因Sui上的闪电贷漏洞遭受攻击,在预言机操纵攻击中损失 14.2 万美元
详情👇
发生了什么?
2026年4月26日,Scallop借贷协议遭遇闪电贷攻击,该攻击针对的是与其sSUI spool奖励池相关的已弃用的侧合约。
>… pic.twitter.com/xoZbLzGCf0
— Sophia Hodlberg (@sophiaHodlberg) 2026年4月26日
据报道,攻击者已联系团队,提出以白帽赏金换取80%的资金返还。目前,该事件正在调查中。团队将核查该漏洞为何能通过OtterSec和MoveBit等公司的先前审计。
Cryptopolitan 报道称,2026 年 4 月发生的许多重大安全事件并非源于核心协议逻辑,而是来自一些仍然可以访问但却被忽视的旧合约、适配器或基础设施层。截至 4 月中旬,累计损失已超过 7.5 亿美元。仅 2026 年 4 月,就有 12 起重大安全事件导致超过 6 亿美元的资金被盗。
Kelp DAO 和 Drift Protocol 合计造成了四月份约 95% 的损失。对 Kelp 的攻击导致Aave产生了 1.77 亿美元的坏账。与此同时,Arbitrum 的安全委员会成功冻结了 30,766 个ETH (约合 7100 万美元)被盗资金。
Hyperliquid 仍然是 DeFi 类别中最大的代币。HYPE 的价格在过去 30 天内上涨了 10%,截至发稿时交易价格为 41.95 美元。Chainlink 位居第二, Chainlink的交易价格约为 9.4 美元。
