周日,Scallop Protocol遭遇闪电贷攻击。据报道,攻击者窃取了约14.2万美元(15万SUI),这似乎是一次针对性极强的预言机操纵攻击。此次攻击并未触及协议的核心trac,但却暴露了一个更深层次的设计缺陷。.
据报道,攻击者利用了与 Scallop 的 sSUI 奖励池关联的已弃用的附加trac。他们的团队强调,核心协议保持完整,所有用户存款都是安全的。然而,损失完全局限于该独立部分。.
老旧代码还是Oracle缺陷?
分析人士认为,问题的核心在于对Scallop定制预言机价格数据源的操纵。这使得攻击者能够人为压低SUI/USDC利率,并以这些扭曲的价格借入资产。随后,攻击者在同一笔交易中偿还了闪电贷。最终,嫌疑人将差价收入囊中。
这遵循了常见的 DeFi 攻击模式;然而,此次攻击的执行异常精准。攻击者并未针对活跃代码或标准 SDK 路由,而是与一个 2023 年 11 月发布的旧版 V2trac进行了交互。该版本虽然被保留,但仍可在链上调用。Sui 会将所有已部署的trac版本保持不可变且可访问的状态。正因如此,这个过时的软件包才成为了一个隐藏的攻击面。.
Sui 的价格在漏洞利用事件发生后并未受到冲击,反而在过去 24 小时内上涨了近 2%。截至发稿时,Sui 的交易价格为 0.94 美元,24 小时交易量约为 1.87 亿美元。
一位专家在帖子提到,这个漏洞虽然隐蔽,但后果严重。在已弃用的合约中trac一个名为“last_index”的关键变量在创建新账户时从未被初始化。这使得攻击者能够像从资金池创建之初就开始质押一样,领取奖励。
随着奖励指数的不断增长,攻击者通过一次交易就将整个奖励池据为己有。他提到,Spool 指数在 20 个月内增长到了 11.9 亿。.
攻击者质押了 136K sSUI,获得了 162 万亿积分。然而,奖励池采用 1:1 的兑换率(分子和分母均为 1),因此 162 万亿积分直接兑换成了价值 162K SUI 的奖励。该奖励池原本只有 150K SUI,现在全部被清空。.
链上数据显示,被盗资金迅速通过类似 Sui 上的 Tornado Cash 的混币服务进行路由。这使得追回资金更加困难。.
扇贝在黑客攻击后已恢复在线
Scallop团队随即暂停了运营。随后,他们宣布已解冻核心trac,所有运营均已恢复。一篇X帖子强调,该问题与核心协议无关,而仅限于一个已弃用的奖励trac。最终,用户的存款未受影响,所有资金仍然安全。目前,提现和存款功能均已恢复正常。.
🚨 Scallop 因 Sui 上的闪电贷漏洞遭受攻击,在预言机操纵攻击中损失 14.2 万美元
详情👇
发生了什么?
2026年4月26日,Scallop借贷协议遭遇闪电贷攻击,攻击目标是与其sSUI spool奖励池相关的已弃用的附加trac。
— Sophia Hodlberg (@sophiaHodlberg) 2026年4月26日
据报道,攻击者已联系团队,提出以白帽赏金换取80%的资金返还。目前,该dent 正在调查中。团队将核查该漏洞为何能通过OtterSec和MoveBit等公司的先前审计。.
Cryptopolitan 报告指出,2026年4月发生的许多重大安全dent并非源于核心协议逻辑,而是来自那些仍然可以访问但却被忽视的旧合约trac适配器或基础设施层。截至4月中旬,累计损失已超过7.5亿美元。仅2026年4月,就有12起重大安全事件导致超过6亿美元的资金dent。
Kelp DAO 和 Drift Protocol 合计造成了四月份约 95% 的损失。对 Kelp 的攻击导致 Aave产生了 1.77 亿美元的坏账。与此同时,Arbitrum 的安全委员会成功冻结了 30,766 个 ETH(约合 7100 万美元)被盗资金。.
Hyperliquid 仍然是 DeFi 类别中最大的代币。HYPE 的价格在过去 30 天内上涨了 10%,截至发稿时交易价格为 41.95 美元。Chainlink 位居第二, Chainlink 的交易价格约为 9.4 美元。.
