Sui Network 去中心化借贷协议 Scallop 于 4 月 26 日(周日)通过 X 平台发布官方公告,确认遭受漏洞攻击,攻击者从与 sSUI spool 关联的废弃奖励合约中提取约 150,000 枚 SUI。根据官方声明,核心资金池及用户存款未受影响,协议已恢复存取款,确认将以公司资金全额赔偿所有损失。
事件时间线与 Scallop 官方回应
根据 Scallop 官方 X 平台公告(4 月 26 日 12:50 UTC),攻击目标为 sSUI spool 的附属奖励合约,该合约为协议针对 SUI 存款者的激励层,非核心借贷逻辑。Scallop 团队在事件发生后数分钟内冻结受影响合约,核心合约冻结于两小时内解除,提款及充值于 14:42 UTC 恢复。
Scallop 官方声明表示:“Scallop 将全额弥补 100% 的损失。”
漏洞技术分析:2023 年废弃套件的未初始化计数器
(来源:Vadim)
根据链上独立分析,攻击入口点为 Scallop 于 2023 年 11 月部署的废弃 V2 spool 套件,距本次攻击发生时间逾 17 个月。在 Sui Network 的技术架构下,已部署的套件不可更改;除非明确设置版本控制,否则旧版本仍可被调用。
攻击者识别出套件中未初始化的 last_index 计数器,此计数器用于追踪质押者的累积奖励。攻击者质押约 136,000 枚 sSUI,系统将此仓位视为自 2023 年 8 月 spool 启动以来一直存在的仓位。经过约 20 个月的指数累积,spool 指数成长至约 11.9 亿,使攻击者获取约 162 兆奖励积分,并以 1:1 比例兑换为 150,000 枚 SUI。
链上交易记录可查询哈希值:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Sui DeFi 近期漏洞事件记录
根据公开报道,2026 年 4 月初,Sui Network 上的 Volo Protocol 发生类似攻击,攻击目标同为附属合约而非核心协议逻辑,损失约 350 万美元。此外,攻击发生一週前,以太坊网络发生一起桥接攻击事件,约 2.92 亿美元的无担保流动性再质押代币遭窃。
Sui Foundation 与 Mysten Labs 截至本报道发布时,均未就 Scallop 事件发表公开声明。根据 Scallop 官方说明,协议计划对所有现存旧版套件进行全面审计,审计时程待定。
常见问题
此次漏洞攻击的发生时间与损失规模为何?
根据 Scallop 官方 X 平台公告,攻击发生于 2026 年 4 月 26 日(周日)12:50 UTC,攻击者从废弃的 sSUI spool 奖励合约中提取约 150,000 枚 SUI。核心借贷资金池及用户在其他市场的存款均未受影响。
Scallop 就此次攻击作出哪些官方承诺?
根据 Scallop 官方声明,协议在攻击后数分钟内冻结受影响合约,并于 14:42 UTC 恢复全部操作功能(距公告发布约两小时)。Scallop 确认以公司资金全额赔偿所有损失,用户收益不受影响,并计划对所有现存旧版套件进行全面审计。
此次漏洞的根本技术原因为何,与 Sui Network 的技术架构有何关联?
根据链上独立分析,漏洞源于 2023 年 11 月部署的废弃 V2 spool 套件中一个未初始化的 last_index 计数器。在 Sui Network 上,已部署的套件不可变更,除非明确设置版本控制,否则旧版本仍可被调用,使攻击者得以利用逾 17 个月前的废弃代码提取 150,000 枚 SUI。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
