Scallop Protocol 週日遭遇閃電貸攻擊。據報道,攻擊者竊取了約 14.2 萬美元(15 萬美元Sui ),這似乎是一次針對性極強的預言機操縱攻擊。此次攻擊並未觸及協議的核心合約,但卻暴露了一個更深層次的設計缺陷。
據報道,攻擊者利用了與 Scallop 的 sSUI 獎勵池關聯的已棄用的附加合約。他們的團隊強調,核心協議保持完整,所有用戶存款均安全無虞。不過,損失完全侷限於該獨立部分。
老舊代碼還是Oracle缺陷?
分析人士認為,問題的核心在於對Scallop定製預言機價格數據源的操縱。這使得攻擊者能夠人為壓低$ Sui / USDC匯率,並以這些扭曲的價格借入資產。隨後,攻擊者在同一筆交易中償還了閃電貸。最終,嫌疑人將差價收入囊中。
這遵循了常見的 DeFi 攻擊模式;然而,此次攻擊的執行異常精準。攻擊者並未針對活躍代碼或標準 SDK 路由,而是與一個 2023 年 11 月發佈的舊版 V2 合約進行了交互。該版本雖然被保留,但仍可在鏈上調用。Sui 會將所有已部署的合約版本設置為不可變且可訪問。正因如此,這個過時的軟件包才成為了一個隱藏的攻擊面。
Sui 的價格在漏洞利用事件發生後並未受到衝擊,反而在過去 24 小時內上漲了近 2%。截至發稿時, Sui的交易價格為 0.94 美元,24 小時交易量約為 1.87 億美元。
一位專家在帖子中提到,這個漏洞雖然隱蔽,但後果嚴重。在已棄用的合約中,一個名為“last_index”的關鍵變量在創建新賬戶時從未被初始化。這使得攻擊者能夠像從資金池創建之初就開始質押一樣,領取獎勵。
隨著獎勵指數的不斷增長,攻擊者通過一次交易就將整個獎勵池據為己有。他提到,Spool 指數在 20 個月內增長到了 11.9 億。
攻擊者質押了 13.6 萬枚 sSUI,獲得了 162 萬億點積分。然而,獎勵池採用 1:1 的兌換率(分子和分母均為 1),因此 162 萬億點積分直接兌換成了價值 16.2 萬枚Sui的獎勵。該獎勵池原本只有 15 萬枚Sui ,現在全部被清空。
鏈上數據顯示,被盜資金迅速通過類似Sui上的 Tornado Cash 的混幣服務進行路由。這使得追回資金更加困難。
扇貝在黑客攻擊後已恢復在線
Scallop團隊隨即暫停了運營。隨後,他們宣佈已解凍核心合約,所有運營均已恢復。一篇X帖子強調,該問題與核心協議無關,而僅限於一個已棄用的獎勵合約。最終,TSER存款未受影響,所有資金仍然安全。目前,提現和存款功能均已恢復正常。
🚨 Scallop 因Sui上的閃電貸漏洞遭受攻擊,在預言機操縱攻擊中損失 14.2 萬美元
詳情👇
發生了什麼?
2026年4月26日,Scallop借貸協議遭遇閃電貸攻擊,該攻擊針對的是與其sSUI spool獎勵池相關的已棄用的側合約。
>… pic.twitter.com/xoZbLzGCf0
— Sophia Hodlberg (@sophiaHodlberg) 2026年4月26日
據報道,攻擊者已聯繫團隊,提出以白帽賞金換取80%的資金返還。目前,該事件正在調查中。團隊將核查該漏洞為何能通過OtterSec和MoveBit等公司的先前審計。
Cryptopolitan 報道稱,2026 年 4 月發生的許多重大安全事件並非源於核心協議邏輯,而是來自一些仍然可以訪問但卻被忽視的舊合約、適配器或基礎設施層。截至 4 月中旬,累計損失已超過 7.5 億美元。僅 2026 年 4 月,就有 12 起重大安全事件導致超過 6 億美元的資金被盜。
Kelp DAO 和 Drift Protocol 合計造成了四月份約 95% 的損失。對 Kelp 的攻擊導致Aave產生了 1.77 億美元的壞賬。與此同時,Arbitrum 的安全委員會成功凍結了 30,766 個ETH (約合 7100 萬美元)被盜資金。
Hyperliquid 仍然是 DeFi 類別中最大的代幣。HYPE 的價格在過去 30 天內上漲了 10%,截至發稿時交易價格為 41.95 美元。Chainlink 位居第二, Chainlink的交易價格約為 9.4 美元。
