Sui Network 遭受六位数漏洞攻击，Scallop Protocol 因黑客损失超过 14 万美元

在 Sui Network 上运行的 DeFi 借贷平台 Scallop Protocol 遭遇安全漏洞，导致约 142,000 美元的 SUI 代币在周日利用遗留奖励智能合约被盗。 🚨 安全事件通知 我们发现了一个影响与 Scallop 的 sSUI 线轴奖励池相关的附带合约的漏洞，导致约 150K SUI 的损失。受影响的合同已被冻结。我们的核心合约保持安全，只有 sSUI 奖励池…… — Scallop (@Scallop_io) 2026 年 4 月 26 日 安全事件发生于 2026 年 4 月 26 日，Scallop 在 UTC 时间 12:50 通过 X（以前称为 Twitter）上的公告公开了此次泄露事件。犯罪者没有损害主要协议基础设施，而是将攻击重点放在连接到 Scallop 的 sSUI 假脱机（一种为 SUI 代币存款人设计的奖励分配机制）的过时辅助合约上。存在漏洞的智能合约是一个 V2 假脱机包，于 2023 年 11 月部署，在被利用时已存在 17 个月以上。在 Sui 网络上，智能合约一旦部署就变得不可变。除非开发人员实施明确的基于版本的访问限制，否则以前的版本仍然有效且可访问。这种架构特征允许遗留合约作为可利用的漏洞持续存在。关键的安全漏洞集中在一个名为“last_index”的未初始化变量上。该参数旨在监控质押系统中参与者的累积奖励。由于该变量在新帐户创建期间从未正确初始化，因此攻击者可以加入池并提取奖励，就好像他们从一开始就参与了一样。恶意行为者质押了大约 136,000 个 sSUI 代币。在过去的 20 个月里，线轴指数已累计达到约 11.9 亿。这种差异使攻击者能够为自己分配大约 162 万亿的奖励积分。由于奖励分配系统按照一对一的兑换比例运行，150,000 SUI 的全部余额在一次区块链交易中被提取。区块链记录显示交易哈希 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL 记录了链上提款。盗窃发生后，被盗资产通过 Sui 上注重隐私的混合协议（类似于 Tornado Cash）迅速转移，使恢复工作变得非常复杂。 Scallop 的开发团队迅速采取行动，在检测到漏洞后几分钟内冻结了受感染的合约。重要的是，核心借贷基础设施并未暂停。所有其他扇贝市场的客户存款仍然受到充分保护。该协议的领导层确认，他们将使用国库储备承担 100% 的财务损失。本次事件不会导致用户良率下降。到 UTC 时间 14:42，Scallop 重新激活了主合约。标准取款和存款功能在最初的违规事件发生后不到两小时内就恢复了正常运行。随后，攻击者主动与开发团队联系，提议返还 80% 的被盗资金，以换取白帽黑客的身份并获得相关赏金。该团队目前正在研究此漏洞如何在 OtterSec 和 MoveBit 之前进行的安全审核中逃避检测。此次安全漏洞是在本月早些时候针对 Volo Protocol 的类似漏洞造成的，该漏洞造成了约 350 万美元的损失。这两起事件都利用了外围合约基础设施，而不是核心协议机制。 2026 年 4 月，发生了 12 起重大安全事件，加密货币失窃金额超过 6 亿美元。截至4月中旬，当月累计损失已超过7.5亿美元。 Kelp DAO 和 Drift Protocol 合计约占 4 月份总损失的 95%。 Kelp 攻击在 Aave 借贷平台上独立产生了 1.77 亿美元的坏账。扇贝的团队尚未发布全面的事件后分析。他们已宣布计划对所有剩余的遗留合同包进行详尽的安全审查。截至本文发布，Sui 基金会和 Mysten Labs 均未就此次安全事件发表官方声明。