过时代码中的漏洞让去中心化金融平台陷入困境，本月一系列引人注目的违规事件导致近 6.06 亿美元消失。

Sui 最大的借贷协议 Scallop 于 2026 年 4 月 26 日遭受攻击，造成约 140,000 美元的损失。这次攻击针对的是已弃用的奖励合约，而不是核心协议本身。漏洞发生后，Scallop 团队冻结了受影响的合同，识别了漏洞并恢复了运营。在整个事件过程中，用户存款并未受到影响。仅 2026 年 4 月就有记录的 DeFi 攻击事件数量不断增加，此次事件又增加了这一事件。 Scallop 漏洞并未破坏协议的主要基础设施。相反，攻击者在一份旧的、未使用的奖励合约中发现了漏洞。这种区别很重要，因为它表明随着时间的推移，遗留代码如何成为一种负担。协议通常会淘汰某些组件，但不会将它们从网络中完全消除。 🚨 安全事件通知 我们发现了一个影响与 Scallop 的 sSUI 线轴奖励池相关的附带合约的漏洞，导致约 150K SUI 的损失。受影响的合同已被冻结。我们的核心合约仍然安全，只有 sSUI 奖励池…… — Scallop (@Scallop_io) 2026 年 4 月 26 日 Scallop 已完成 Sui 基金会于 2025 年 2 月进行的全面审计。尽管进行了审查，已弃用的合约仍然是一个薄弱环节。加密货币分析师 Crypto Patel 在 X 上指出，“经过审计并不意味着安全”，并以 Scallop 和 Kelp DAO 为例。尽管在违规前通过了两次单独的审计，但 Kelp DAO 仍损失了 2.92 亿美元。 Scallop 团队迅速做出反应，隔离了该 bug，并暂停了相关合约。运营很快就恢复了，团队确认没有用户资金面临风险。快速响应有助于仅控制已弃用组件的损坏。尽管如此，这一事件还是引起了人们对旧合同越来越多地被用作攻击媒介的关注。近几个月来，这种模式在 Sui 生态系统中变得越来越普遍。开发人员和安全研究人员已开始将未使用的合同标记为越来越令人担忧的问题。如果协议使已弃用的组件处于活动状态而没有适当停用，则面临更高的风险。扇贝案例为正在进行的对话提供了实际参考点。事实证明，2026 年 4 月对于整个 DeFi 领域来说是艰难的一个月。行业损失已超过 6.06 亿美元，这是自 Bybit 事件以来最严重的一个月。 Scallop 漏洞是本月有记录的第 13 起 DeFi 漏洞。这一频率表明去中心化金融平台面临着系统性挑战。尤其是隋网络，在过去的一年里事件屡屡发生。 Cetus DEX 在 2025 年 5 月损失了 2.23 亿美元，Nemo Protocol 在 2025 年 9 月损失了 240 万美元。Volo Protocol 在 2026 年 4 月 22 日损失了 350 万美元，就在 Scallop 泄露的前几天。这些事件反映了基于 Sui 的协议中反复出现的漏洞模式。风险管理已成为 DeFi 参与者的紧迫话题。 Crypto Patel 建议避免废弃的合约并定期提取奖励，而不是让它们闲置。将资金分散到多个协议而不是集中在一个平台上也可以减少风险。在存款之前监控官方协议公告增加了另一层保护。更广泛的 DeFi 社区继续研究如何加强审计流程。通过审核并不能保证协议不存在可利用的代码，尤其是在遗留组件中。对已弃用的合同进行持续的安全审查正在成为推荐的做法。 2026 年 4 月发生的事件可能会影响协议未来如何进行合同生命周期管理。