Scallop DeFi漏洞揭示已弃用合约风险，2026年4月累计亏损达6.06亿美元

摘要：

• Scallop 损失的 14 万美元来自一个已弃用的奖励合约，而非其核心借贷协议基础设施。
• 2026 年 4 月共录得 13 起 DeFi 漏洞攻击事件，令行业总损失超过 6.06 亿美元，成为自 Bybit 事件以来损失最惨重的月份。
• Scallop 于 2025 年 2 月通过了 Sui 基金会的全面审计，但该已弃用的合约仍是一个潜在风险。
• 专家建议分散资金、避免使用旧合约，并定期提取奖励以降低风险敞口。

Sui 上最大的借贷协议 Scallop 于 2026 年 4 月 26 日遭到漏洞攻击，损失约 14 万美元。

此次攻击针对的是一个已弃用的奖励合约，而非核心协议本身。事件发生后，Scallop 团队冻结了受影响的合约，找出漏洞所在，并恢复了正常运营。

用户存款在整个事件中未受影响。此次事件进一步增添了 2026 年 4 月以来不断累积的 DeFi 漏洞攻击记录。

已弃用合约成为攻击者的切入点

Scallop 此次漏洞攻击并未突破协议的主要基础设施，攻击者而是在一个旧的、闲置的奖励合约中找到了可乘之机。

这一区别至关重要，因为它说明了遗留代码如何随着时间推移成为隐患。协议往往会停用某些组件，却未将其从网络中彻底移除。

Scallop 已于 2025 年 2 月完成由 Sui 基金会主导的全面审计。尽管如此，该已弃用的合约仍是一个薄弱环节。

加密分析师 Crypto Patel 在 X 上指出"经过审计不等于安全"，并以 Scallop 和 Kelp DAO 为例。Kelp DAO 在遭受攻击前已通过两次独立审计，仍损失了 2.92 亿美元。

Scallop 团队迅速响应，隔离漏洞并暂停相关合约。此后不久恢复运营，团队确认用户资金未受到威胁。

快速的应对措施将损失控制在已弃用的组件范围内。尽管如此，此次事件引发了外界对旧合约越来越多地被用作攻击媒介的关注。

近几个月来，这一模式在 Sui 生态系统中愈发普遍。开发者和安全研究人员已开始将闲置合约列为日益突出的隐患。

未经妥善停用而仍保持活跃状态的已弃用组件，将令协议面临更高风险。Scallop 案例为这一持续讨论提供了实际参考。

2026 年 4 月成为自 Bybit 以来 DeFi 损失最惨重的月份

2026 年 4 月对整个 DeFi 领域而言是艰难的一个月。行业损失已超过 6.06 亿美元，成为自 Bybit 事件以来损失最惨重的月份。

Scallop 漏洞攻击是本月录得的第 13 起 DeFi 安全事件，如此高频率的攻击揭示了去中心化金融平台所面临的系统性挑战。

Sui 网络在过去一年中尤其多次发生安全事件。Cetus DEX 于 2025 年 5 月损失 2.23 亿美元，其后 Nemo Protocol 于 2025 年 9 月损失 240 万美元。

Volo Protocol 于 2026 年 4 月 22 日遭受攻击，损失 350 万美元，距 Scallop 事件仅数天之隔。这些事件反映出 Sui 生态协议中反复出现的漏洞规律。

风险管理已成为 DeFi 参与者热议的话题。Crypto Patel 建议避免使用已弃用合约，并定期提取奖励，而非让其长期闲置。

将资金分散至多个协议，而非集中于单一平台，同样有助于降低风险敞口。在存款前留意协议官方公告，可增添额外一层保障。

更广泛的 DeFi 社区持续探讨如何强化审计流程。通过审计并不能保证协议不存在可被利用的代码，尤其是在遗留组件方面。

涵盖已弃用合约的持续安全审查正逐渐成为业界推荐的做法。2026 年 4 月发生的一系列事件，很可能将影响各协议未来处理合约生命周期管理的方式。

The post Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak appeared first on Blockonomi.