Scallop Protocol 在閃電貸與預言機操縱攻擊中損失 14.2 萬美元

Scallop Protocol 於週日遭受閃電貸款漏洞攻擊。攻擊者據報抽走了約 142,000 美元（150,000 SUI），這似乎是一次高度針對性的預言機操縱攻擊。此次攻擊並未觸及協議的核心合約，但暴露了更深層的設計缺陷。

攻擊者據報利用了與 Scallop 的 sSUI 獎勵池相關的一個已棄用附屬合約。其團隊強調核心協議保持完整，所有用戶存款均安全無虞。然而，損失完全侷限於該隔離部分。

舊代碼還是預言機缺陷？

分析師指出，核心問題在於對 Scallop 自定義預言機價格饋送的操縱。這使攻擊者得以人為壓低 SUI/USDC 匯率，並以這些失真價格借入資產，隨後在同一筆交易中償還閃電貸款。最終，嫌疑人從中套取了差價。

這與常見的 DeFi 攻擊模式如出一轍，但此次攻擊的執行異常精確。攻擊者並未針對活躍代碼或標準 SDK 路徑，而是與 2023 年 11 月的一個舊版 V2 合約進行交互。該版本雖已被棄用，但仍可在鏈上被調用。Sui 保持所有已部署合約版本的不可變性和可訪問性，正是這一特性使這個過時的合約包成為了隱藏的攻擊面。

Sui 幣價在此次漏洞攻擊後並未受到衝擊，過去 24 小時內上漲了近 2%。截至發稿時，Sui 的交易價格為 0.94 美元，24 小時交易量約為 1.87 億美元。

一位專家在貼文中指出，該漏洞本身雖然隱蔽，但危害嚴重。在已棄用的合約中，當新帳戶創建時，關鍵變數「last_index」從未被初始化。這使攻擊者得以聲稱獎勵，彷彿他們從礦池創建之初便一直在質押。

隨著獎勵指數隨時間增長，攻擊者在單筆交易中成功將整個獎勵池的收益歸入自己名下。他提到，Spool 指數在 20 個月內增長到了 11.9 億。 

攻擊者質押了 136K sSUI，並獲得了 162 兆積分的積分記錄。然而，由於獎勵池採用 1:1 兌換比率（分子和分母均為 1），162 兆積分直接換算為等值 162K SUI 的獎勵。而礦池中僅有 150K SUI，全部遭到抽空。

鏈上數據顯示，被盜資金迅速通過一個類似 Sui 上 Tornado Cash 的混幣服務進行轉移，這使資金追回工作更加困難。

Scallop 遭駭後恢復上線

Scallop 團隊隨即暫時暫停運營，隨後宣布已解凍核心合約，所有操作已恢復正常。一則 X 平台貼文強調，此問題與核心協議無關，僅侷限於一個已棄用的獎勵合約。最終，用戶存款未受影響，所有資金均安全無虞。提款和存款現已恢復正常運作。

據報攻擊者已主動聯繫團隊，願意以白帽賞金的方式換取歸還 80% 資金。事件目前正在調查中。團隊將審查此漏洞是如何通過 OtterSec 和 MoveBit 等機構的先前審計的。

Cryptopolitan 報導指出，2026 年 4 月的許多重大事件並非源於核心協議邏輯，而是來自仍可訪問但被忽視的舊合約、適配器或基礎設施層。截至 4 月中旬，累計損失已超過 7.5 億美元。僅 2026 年 4 月，12 起重大事件中被盜資金便超過 6 億美元。 

Kelp DAO 和 Drift Protocol 合計約佔 4 月損失的 95%。針對 Kelp 的攻擊導致 Aave 上產生了 1.77 億美元的壞帳。與此同時，Arbitrum 安全委員會成功凍結了 30,766 ETH（約價值 7,100 萬美元）的被盜資金。

Hyperliquid 仍是 DeFi 類別中市值最大的代幣。HYPE 幣價在過去 30 天內上漲了 10%，截至發稿時交易價格為 41.95 美元。Chainlink 位居第二，LINK 交易價格約為 9.4 美元。

您的銀行正在使用您的資金，而您只獲得微薄回報。觀看我們的免費影片，了解如何成為自己的銀行