Sui Network 프로쿠시드 대출协议 Scallop 于 4 月 26 日(周日)通过 X 平台發布官方公告,确认遭受漏洞攻击,攻击者从与 sSUI spool 关联的废弃奖励合约中提取约 150,000 枚 SUI。根据官方声明,核心资金池及用户存款未受影响,协议已恢复存提款,确认将以公司资金全额赔偿所有损失。
事件时间线与 Scallop 官方回应
根据 Scallop 官方 X 平台公告(4 月 26 日 12:50 UTC),攻击目标为 sSUI spool 的附属奖励合约,该合约为协议针对 SUI 存款者的激励层,非核心借贷逻辑。Scallop 团队在事件发生后数分钟内冻结受影响合约,核心合约冻结于两小时内解除,提款及充值于 14:42 UTC 恢复。
Scallop 官方声明表示:「Scallop 将全额弥补 100% 的损失。」
漏洞技术分析:2023 年废弃套件的未初始化计数器
(来源:Vadim)
根据链上独立分析,攻击入口点为 Scallop 于 2023 年 11 月部署的废弃 V2 spool 套件,距本次攻击发生时间逾 17 个月。在 Sui Network 的技术架构下,已部署的套件不可更改;除非明确设置版本控制,否则旧版本仍可被呼叫。
攻击者识别出套件中未初始化的 last_index 计数器,此计数器用于追踪质押者的累计奖励。攻击者质押约 136,000 枚 sSUI,系统将此仓位视为自 2023 年 8 月 spool 启动以来一直存在的仓位。经约 20 个月的指数累计,spool 指数成长至约 11.9 亿,使攻击者获取约 162 兆奖励积分,并以 1:1 比例兑换为 150,000 枚 SUI。
链上交易记录可查询哈希值:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Sui DeFi 近期漏洞事件记录
根据公开报道,2026 年 4 月初,Sui Network 上的 Volo Protocol 发生类似攻击,攻击目标同为附属合约而非核心协议逻辑,损失约 350 万美元。此外,攻击发生一週前,以太坊网络发生一起桥接攻击事件,约 2.92 亿美元的无担保流动性再质押代币遭窃。
Sui Foundation 与 Mysten Labs 截至本报导发布时,均未就 Scallop 事件发表公开声明。根据 Scallop 官方说明,协议计划对所有现存旧版套件进行全面审计,审计时程待定。
常见问题
此次漏洞攻击的发生时间与损失规模为何?
根据 Scallop 官方 X 平台公告,攻击发生于 2026 年 4 月 26 日(周日)12:50 UTC,攻击者从废弃的 sSUI spool 奖励合约中提取约 150,000 枚 SUI。核心借贷资金池及用户在其他市场的存款均未受影响。
Scallop 就此次攻击作出哪些官方承诺?
根据 Scallop 官方声明,协议在攻击后数分钟内冻结受影响合约,并于 14:42 UTC 恢复全部操作功能(距公告发布约两小时)。Scallop 确认以公司资金全额赔偿所有损失,用户收益不受影响,并计划对所有现存旧版套件进行全面审计。
此次漏洞的根本技术原因为何,与 Sui Network 的技术架构有何关联?
根据链上独立分析,漏洞源于 2023 年 11 月部署的废弃 V2 spool 套件中一个未初始化的 last_index 计数器。在 Sui Network 上,已部署的套件不可变更,除非明确设置版本控制,否则旧版本仍可被调用,使攻击者得以利用逾 17 个月前的废弃程式码提取 150,000 枚 SUI。
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Western Union Transfer Konfirmasi Rapat Pendapatan Q1: Stablecoin USDPT Meluncur pada Awal Mei
Berdasarkan isi konferensi telepon laporan keuangan kuartal pertama Western Union pada 24 April, presiden dan CEO Western Union, Devin McGranahan, mengonfirmasi bahwa stablecoin USDPT perusahaan saat ini telah memasuki tahap persiapan akhir dan diperkirakan akan diluncurkan secara resmi pada bulan Mei.
MarketWhisper42menit yang lalu
孙宇晨称 TRON 为全球首个抗量子攻击网络,2026 年 Q3 主网上线
Pendir TRON Sun Yuchen pada 26 April memposting di X untuk mengumumkan bahwa TRON berencana mengaktifkan fitur anti-serangan kuantum pada jaringan pengujian pada kuartal kedua, dengan rencana peluncuran di jaringan utama pada kuartal ketiga. Sun Yuchen dalam postingannya menyebut rencana peningkatan ini sebagai “jaringan anti-serangan kuantum pertama di dunia”. Meskipun ancaman kuantum saat ini masih terutama berada pada tataran teoretis, Ethereum, Solana, dan lainnya telah mengumumkan rencana atau jadwal peningkatan Post-Quantum Cryptography (PQC).
MarketWhisper49menit yang lalu
Penggalangan dana DeFi United tembus 102.000 ETH, AAVE memantul hingga 100 dolar
Berdasarkan halaman resmi DeFi United, dana talangan multia-platform DeFi United yang dipelopori oleh penyedia layanan Aave telah mengumpulkan lebih dari 102.000 ETH per 27 April, dengan tujuan untuk menutup kesenjangan piutang macet yang muncul di pasar Aave V3 setelah insiden serangan penghubung lintas rantai Kelp DAO pada 18 April. AAVE sempat menembus 100 dolar AS lalu turun kembali.
MarketWhisper1jam yang lalu
Mainnet DPoS Vcitychain Resmi Diluncurkan dengan Sistem Konsensus yang Dikembangkan Sendiri
Berita Gate, 27 April — Vcitychain, blockchain berkelas komersial, secara resmi meluncurkan mainnet DPoS-nya hari ini, beralih ke sistem konsensus Delegated Proof of Stake (DPoS) yang dikembangkan sendiri.
Peningkatan ini bertujuan untuk meningkatkan kinerja jaringan, memperkuat desentralisasi, dan meningkatkan transparansi tata kelola on-chain g
GateNews1jam yang lalu
ApeCoin Memindahkan Kendali Game ke Komunitas saat Musim 3 Blackbeard's Bounty Berakhir
Berita Gate, 27 April — ApeCoin mengumumkan bahwa musim quest Blackbeard's Bounty secara resmi telah berakhir, meskipun kemampuan bagi pengguna untuk membuat dan menyelesaikan tugas bounty akan tetap aktif. Saat musim berakhir, kendali permainan sedang dialihkan ke komunitas, dengan arah pengembangan selanjutnya
GateNews1jam yang lalu
FLOA Ecosystem Launches FloaClaw AI Suite With Multi-Scenario Skill Matrix
Pesan Berita Gate, 27 April — Ekosistem FLOA secara resmi meluncurkan FloaClaw, perangkat AI inti mereka, yang dilengkapi dengan matriks keterampilan AI multi-skenario. Akses ke fungsi FloaClaw dibatasi untuk pengguna Agent pada level 3 dan yang lebih tinggi.
FloaClaw beroperasi pada sistem berbasis token, di mana pengguna membeli token daya komputasi BNB-backed untuk menggunakan [keterampilan AI]https://www.gate.com/zh/skills-hub, dengan penskalaan konsumsi berdasarkan kompleksitas tugas. Platform ini berencana untuk terus memperluas dengan keterampilan AI dan modul alat baru. FLOA juga akan memperkenalkan sistem pembagian pendapatan bagi kreator, yang memungkinkan kreator Agent memperoleh bagian dari token daya komputasi dari konsumsi keterampilan pengguna, dengan dukungan penarikan BNB satu klik untuk membangun ekonomi kreator yang berkelanjutan.
FLOA adalah platform ekosistem cerdas Web3 Agent yang dibangun di BNB Chain, mengintegrasikan kemampuan analitik data dan otomatisasi on-chain dengan mekanisme insentif terbuka yang dirancang untuk memberdayakan pengguna dan mendorong pertumbuhan ekosistem.
GateNews1jam yang lalu
