总部位于Sui的Scallop遭遇闪电贷攻击，损失14.2万美元。

周日，Scallop Protocol遭遇闪电贷攻击。据报道，攻击者窃取了约14.2万美元（15万SUI），这似乎是一次针对性极强的预言机操纵攻击。此次攻击并未触及协议的核心trac，但却暴露了一个更深层次的设计缺陷。.

据报道，攻击者利用了与 Scallop 的 sSUI 奖励池关联的已弃用的附加trac。他们的团队强调，核心协议保持完整，所有用户存款都是安全的。然而，损失完全局限于该独立部分。.

老旧代码还是Oracle缺陷？

分析人士认为，问题的核心在于对Scallop定制预言机价格数据源的操纵。这使得攻击者能够人为压低SUI/USDC利率，并以这些扭曲的价格借入资产。随后，攻击者在同一笔交易中偿还了 闪电贷 。最终，嫌疑人将差价收入囊中。

这遵循了常见的 DeFi 攻击模式；然而，此次攻击的执行异常精准。攻击者并未针对活跃代码或标准 SDK 路由，而是与一个 2023 年 11 月发布的旧版 V2trac进行了交互。该版本虽然被保留，但仍可在链上调用。Sui 会将所有已部署的trac版本保持不可变且可访问的状态。正因如此，这个过时的软件包才成为了一个隐藏的攻击面。.

Sui 的价格 在漏洞利用事件发生后并未受到冲击，反而在过去 24 小时内上涨了近 2%。截至发稿时，Sui 的交易价格为 0.94 美元，24 小时交易量约为 1.87 亿美元。

一位专家在 帖子 提到，这个漏洞虽然隐蔽，但后果严重。在已弃用的合约中trac一个名为“last_index”的关键变量在创建新账户时从未被初始化。这使得攻击者能够像从资金池创建之初就开始质押一样，领取奖励。

随着奖励指数的不断增长，攻击者通过一次交易就将整个奖励池据为己有。他提到，Spool 指数在 20 个月内增长到了 11.9 亿。. 

攻击者质押了 136K sSUI，获得了 162 万亿积分。然而，奖励池采用 1:1 的兑换率（分子和分母均为 1），因此 162 万亿积分直接兑换成了价值 162K SUI 的奖励。该奖励池原本只有 150K SUI，现在全部被清空。.

链上数据显示，被盗资金迅速通过类似 Sui 上的 Tornado Cash 的混币服务进行路由。这使得追回资金更加困难。.

扇贝在黑客攻击后已恢复在线

Scallop团队随即暂停了运营。随后，他们宣布已解冻核心trac，所有运营均已恢复。一篇X帖子强调，该问题与核心协议无关，而仅限于一个已弃用的奖励trac。最终，用户的存款未受影响，所有资金仍然安全。目前，提现和存款功能均已恢复正常。.

🚨 Scallop 因 Sui 上的闪电贷漏洞遭受攻击，在预言机操纵攻击中损失 14.2 万美元

详情👇

发生了什么？

2026年4月26日，Scallop借贷协议遭遇闪电贷攻击，攻击目标是与其sSUI spool奖励池相关的已弃用的附加trac。

>… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 2026年4月26日

据报道，攻击者已联系团队，提出以白帽赏金换取80%的资金返还。目前，该dent 正在调查中。团队将核查该漏洞为何能通过OtterSec和MoveBit等公司的先前审计。.

Cryptopolitan 报道称 ，2026 年 4 月发生的许多重大安全dent并非源于核心协议逻辑，而是来自一些仍然可以访问但却被忽视的旧合约trac适配器或基础设施层。截至 4 月中旬，累计损失已超过 7.5 亿美元。仅 2026 年 4 月，就有 12 起重大安全事件导致超过 6 亿美元的资金dent。 

Kelp DAO 和 Drift Protocol 合计造成了四月份约 95% 的损失。对 Kelp 的攻击导致 Aave产生了 1.77 亿美元的坏账。与此同时，Arbitrum 的安全委员会成功冻结了 30,766 个 ETH（约合 7100 万美元）被盗资金。.

Hyperliquid 仍然是 DeFi 类别中最大的代币。HYPE 的价格在过去 30 天内上涨了 10%，截至发稿时交易价格为 41.95 美元。Chainlink 位居第二， Chainlink 的交易价格约为 9.4 美元。.