Scallop Protocol 在闪电贷结合预言机操纵攻击中损失 14.2 万美元

Scallop Protocol 于周日遭遇闪电贷漏洞攻击。攻击者据报抽走约 142,000 美元（150,000 SUI），此次攻击被认为是一场高度针对性的预言机操纵攻击。此次攻击并未触及协议的核心合约，但暴露了更深层的设计缺陷。

据报攻击者利用了一份与 Scallop 的 sSUI 奖励池相关的已弃用旁侧合约。其团队强调核心协议完好无损，所有用户存款均安全。然而，损失完全局限于该隔离部分。

旧代码还是预言机漏洞？

分析师认为，核心问题在于对 Scallop 自定义预言机价格数据源的操纵。这使攻击者得以人为压低 SUI/USDC 汇率，并以这些失真价格借入资产，随后在同一笔交易中偿还闪电贷，最终套取了其中的差价。

此次事件沿袭了常见的 DeFi 攻击模式，但执行过程异常精准。攻击者并未针对活跃代码或标准 SDK 路径，而是与 2023 年 11 月的一份旧版 V2 合约交互。该版本虽已废弃，但在链上仍可调用。Sui 保持所有已部署合约版本的不可变性和可访问性，这正是这个过时的包成为隐藏攻击面的原因。

Sui 价格在此次漏洞攻击后并未受到冲击，过去 24 小时内上涨近 2%。截至发稿时，Sui 交易价格为 0.94 美元，24 小时交易量约为 1.87 亿美元。

一位专家在帖子中提到，该漏洞本身隐蔽但危害严重。在已弃用的合约中，当创建新账户时，关键变量"last_index"从未被初始化。这使攻击者得以索取奖励，仿佛他们自池子创建之初便一直在质押。

随着奖励指数随时间增长，攻击者得以在单笔交易中将整个奖励池的奖励归入自己名下。他提到，Spool 指数在 20 个月内增长至 11.9 亿。 

攻击者质押了 136K sSUI，获得了 162 万亿积分。然而，奖励池的兑换比率为 1:1（分子和分母均为 1），因此 162 万亿积分直接换算为价值 162K SUI 的奖励。该池中仅有 150K SUI，全部被抽空。

链上数据显示，被盗资金迅速通过一个混币服务进行转移，类似于 Sui 上的 Tornado Cash，这使资金追回更加困难。

Scallop 黑客事件后恢复上线

Scallop 团队回应称暂时暂停运营，随后报告已解冻核心合约，所有操作已恢复正常。一篇 X 帖子强调，此问题与核心协议无关，仅局限于一份已弃用的奖励合约。最终，用户存款未受影响，所有资金依然安全。提款和存款现已恢复正常运作。

据报攻击者已联系团队，表示愿意归还 80% 的资金以换取白帽赏金。该事件目前正在调查中。团队将核查该漏洞是如何通过 OtterSec 和 MoveBit 等机构的早前审计的。

Cryptopolitan 报道称，2026 年 4 月的许多重大事件并非源于核心协议逻辑，而是来自仍可访问但被忽视的旧合约、适配器或基础设施层。截至 4 月中旬，累计损失已超过 7.5 亿美元。仅 2026 年 4 月一个月，12 起重大事件中被盗资金便超过 6 亿美元。 

Kelp DAO 和 Drift Protocol 合计占 4 月损失的约 95%。针对 Kelp 的攻击导致 Aave 产生 1.77 亿美元的坏账。与此同时，Arbitrum 安全委员会成功冻结了 30,766 ETH（约价值 7,100 万美元）的被盗资金。

Hyperliquid 仍是 DeFi 类别中市值最大的代币。HYPE 价格在过去 30 天内上涨 10%，截至发稿时交易价格为 41.95 美元。Chainlink 位居第二，LINK 交易价格约为 9.4 美元。

您的银行正在使用您的钱，而您只能得到残羹剩饭。观看我们的免费视频，了解如何成为自己的银行。