Gate News 消息,4 月 26 日——Scallop Protocol 是一個部署在 Sui 區塊鏈上的借貸平台,遭遇針對其 sSUI 獎勵池連結的已棄用側合約的閃電貸(flash loan)漏洞利用攻擊,導致約損失 142,000 美元 (150,000 SUI)。該攻擊利用預言機價格供給操縱,透過人為壓低 SUI/USDC 的匯率來扭曲借貸資產價格,並讓攻擊者在同一筆交易中償還閃電貸,同時攫取差額。
核心問題源自一個在 2023 年 11 月部署的已棄用 V2 合約,該合約在鏈上仍可被呼叫。在這份過時合約中,一個名為 “last_index” 的關鍵變數在建立新帳戶時從未被初始化。此缺陷使攻擊者能以作為自該池啟動以來就一直在質押的身分來領取獎勵。由於獎勵指標在 20 個月內成長到 19.1 億,攻擊者質押了 136,000 sSUI,但卻獲得 162 兆點數的認列。由於獎勵池以 1:1 的匯率運作,這些點數會直接轉換為 162,000 SUI 等值的獎勵。該池僅包含 150,000 SUI,所有資金均被掏空。鏈上資料顯示,被竊資金很快透過混幣服務(mixing service)進行路由,導致追償工作變得複雜。
Scallop 的團隊回應是先暫停運作,隨後解凍核心合約並恢復所有操作。該協定確認此漏洞僅限於已棄用的獎勵合約,不影響核心協定或使用者存款,所有資金仍保持安全。攻擊者其後聯繫團隊,提出在換取白帽懸賞(white-hat bounty)的條件下歸還被竊資金的 80%,而此事件目前正在調查中。團隊將審查該缺陷如何在先前由 OtherSec 與 MoveBit 等公司進行的審計中逃過檢測。
SUI 價格在遭到攻擊後依然保持韌性,在攻擊後 24 小時內上漲約 2%,並以 0.94 美元交易,日交易量約為 $187 百萬。此事件反映 2026 年 4 月更廣泛的趨勢:大型 DeFi 漏洞攻擊正鎖定已棄用合約與基礎設施層,而非核心協定邏輯;在該月份的 12 起重大事件中,累計損失超過 $600 百萬。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
22歲男子因 $263 百萬加密竊盜洗錢被判處70個月
加州居民 Evan Tangeman,22 歲,於週五因其在一個跨多州的加密貨幣盜竊集團中扮演洗錢贓款的角色,被判處聯邦監獄 70 個月;該集團從受害者處盜走約 $263 百萬美元的數位資產,根據美國司法部的說法。美國。
Crypto Frontier3小時前
萊特幣因 MWEB 隱私層遭遇零日利用而發生深度鏈重組
Gate News 訊息,4 月 26 日—萊特幣(Litecoin)在週六下午經歷了一次深度鏈重組;此前,攻擊者利用其 MimbleWimble Extension Block (MWEB) 隱私層中的零日漏洞,
GateNews3小時前
與 Avi Eisenberg 相關的地址顯示新的鏈上活動,引發安全疑慮
Gate 新聞訊息,4月26日——區塊鏈分析平台 Arkham 已指出,一個被認為與 Avi Eisenberg 有關的地址出現了新的鏈上活動。Eisenberg 為 2022 年 Mango Markets 漏洞事件的攻擊者,並從中獲利約 $110 百萬美元。Eisenberg 先前被判刑後
GateNews5小時前
Sui 鏈 DeFi 借貸協議 Scallop 遭駭,舊版合約漏洞致 15 萬 SUI 被盜
Scallop 在 Sui 鏈遭攻擊,側合約牽連 sSUI 獎勵池被利用,約 15 萬枚 SUI 被盜,核心合約安全,存款與提領已恢復。官方聲明僅限於已棄用的獎勵合約,使用者資金未受影響。前 NEAR 開發者 Vadim 指漏洞源自 17 個月前的舊版 V2 套件,未初始化 last_index 導致自 2023 年起累積獎勵;修復需在共用物件加入版本欄位並強化版本檢查,避免過時套件造成風險。
鏈新聞abmedia6小時前
Scallop 發現 sSUI 獎勵池漏洞,損失 15 萬 SUI 但承諾全額賠付
Gate News 訊息,4 月 26 日——Scallop,Sui 生態系中的借貸協議,宣布發現其 sSUI 獎勵池相關的輔助合約存在漏洞,導致約 150,000 SUI 的損失。受影響的合約已被暫停,且 Scallop 確認
GateNews10小時前
因 MWEB 隱私層零日漏洞而遭遇深度鏈重組的萊特幣
Gate News 消息,4 月 26 日——據萊特幣基金會(Litecoin Foundation)稱,萊特幣在週六經歷了一次深度鏈重組 (4 月 26 日);在攻擊者利用其 MimbleWimble Extension Block (MWEB) 隱私層中的零日漏洞後,鏈上發生重組。此次重組涵蓋了區塊 3,095,930 至 3,095,943,並
GateNews11小時前
