Sui Network 去中心化借貸協議 Scallop 於 4 月 26 日(周日)透過 X 平台發布官方公告,確認遭受漏洞攻擊,攻擊者從與 sSUI spool 關聯的廢棄獎勵合約中提取約 150,000 枚 SUI。根據官方聲明,核心資金池及用戶存款未受影響,協議已恢復存提款,確認將以公司資金全額賠償所有損失。
事件時間線與 Scallop 官方回應
根據 Scallop 官方 X 平台公告(4 月 26 日 12:50 UTC),攻擊目標為 sSUI spool 的附屬獎勵合約,該合約為協議針對 SUI 存款者的激勵層,非核心借貸邏輯。Scallop 團隊在事件發生後數分鐘內凍結受影響合約,核心合約凍結於兩小時內解除,提款及充值於 14:42 UTC 恢復。
Scallop 官方聲明表示:「Scallop 將全額彌補 100% 的損失。」
漏洞技術分析:2023 年廢棄套件的未初始化計數器
(來源:Vadim)
根據鏈上獨立分析,攻擊入口點為 Scallop 於 2023 年 11 月部署的廢棄 V2 spool 套件,距本次攻擊發生時間逾 17 個月。在 Sui Network 的技術架構下,已部署的套件不可更改;除非明確設定版本控制,否則舊版本仍可被呼叫。
攻擊者識別出套件中未初始化的 last_index 計數器,此計數器用於追蹤質押者的累積獎勵。攻擊者質押約 136,000 枚 sSUI,系統將此倉位視為自 2023 年 8 月 spool 啟動以來一直存在的倉位。經約 20 個月的指數累積,spool 指數成長至約 11.9 億,使攻擊者獲取約 162 兆獎勵積分,並以 1:1 比例兌換為 150,000 枚 SUI。
鏈上交易記錄可查詢哈希值:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Sui DeFi 近期漏洞事件記錄
根據公開報道,2026 年 4 月初,Sui Network 上的 Volo Protocol 發生類似攻擊,攻擊目標同為附屬合約而非核心協議邏輯,損失約 350 萬美元。此外,攻擊發生一週前,以太坊網路發生一起橋接攻擊事件,約 2.92 億美元的無擔保流動性再質押代幣遭竊。
Sui Foundation 與 Mysten Labs 截至本報導發布時,均未就 Scallop 事件發表公開聲明。根據 Scallop 官方說明,協議計劃對所有現存舊版套件進行全面審計,審計時程待定。
常見問題
此次漏洞攻擊的發生時間與損失規模為何?
根據 Scallop 官方 X 平台公告,攻擊發生於 2026 年 4 月 26 日(周日)12:50 UTC,攻擊者從廢棄的 sSUI spool 獎勵合約中提取約 150,000 枚 SUI。核心借貸資金池及用戶在其他市場的存款均未受影響。
Scallop 就此次攻擊作出哪些官方承諾?
根據 Scallop 官方聲明,協議在攻擊後數分鐘內凍結受影響合約,並於 14:42 UTC 恢復全部操作功能(距公告發布約兩小時)。Scallop 確認以公司資金全額賠償所有損失,用戶收益不受影響,並計劃對所有現存舊版套件進行全面審計。
此次漏洞的根本技術原因為何,與 Sui Network 的技術架構有何關聯?
根據鏈上獨立分析,漏洞源於 2023 年 11 月部署的廢棄 V2 spool 套件中一個未初始化的 last_index 計數器。在 Sui Network 上,已部署的套件不可變更,除非明確設定版本控制,否則舊版本仍可被呼叫,使攻擊者得以利用逾 17 個月前的廢棄程式碼提取 150,000 枚 SUI。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Vcitychain DPoS 主網上線:採用自研共識系統
Gate 新聞消息,4 月 27 日——Vcitychain,一個商用級區塊鏈,今日正式啟動其 DPoS 主網,轉向自研的「委託權益證明」(DPoS) 共識系統。
此次升級旨在提升網路效能、增強去中心化程度,並改進鏈上 g
GateNews1分鐘前
ApeCoin 在黑胡子的懸賞(Blackbeard's Bounty)第 3 季結束後將遊戲控制權移交給社群
Gate News 消息,4 月 27 日——ApeCoin 宣布,黑胡子的懸賞(Blackbeard's Bounty)任務賽季已正式結束;不過,使用者創建並完成懸賞任務的能力將仍保持有效。隨著賽季結束,遊戲控制權正被移交給社群,未來的開發方向將由玩家決定。該專案鼓勵持續參與生態系建設與內容創作。
APE 代幣近期顯示出更高的波動性,過去七天交易價格為 $0.1508,漲幅達 49.66%。目前的流通供給量為 7.5265 億 APE,對應市值為 $114.22 million。過去 24 小時,APE 永續合約交易量約為 $204.68 million,而未平倉部位總計約為 $64.12 million,反映市場槓桿調整仍在持續進行。
GateNews2分鐘前
FLOA 生態系推出 FloaClaw AI 套件,配備多情境技能矩陣
Gate News 訊息,4月27日——FLOA 生態系已正式推出 FloaClaw,作為其核心 AI 工具包,並提供多情境的 AI 技能矩陣。FloaClaw 的功能權限僅限 3 級及以上的 Agent 用戶。
FloaClaw 採用代幣制,用戶購買計算力代幣 BNB-backed 來消耗 [AI skills]https://www.gate.com/zh/skills-hub,,消耗量會根據任務複雜度進行分級擴展。平台計劃持續新增 AI 技能與工具模組。FLOA 也將推出創作者收益分潤機制,使 Agent 創作者能從用戶技能消耗中獲得一部分計算力代幣,並提供一鍵提取 BNB 支援,以打造可持續的創作者經濟。
FLOA 是一個基於 BNB Chain 的智慧型 Web3 Agent 生態系平台,整合數據分析與鏈上自動化能力,並配備開放式激勵機制,旨在賦能用戶並推動生態系增長。
GateNews2分鐘前
Aave Labs 向 Arbitrum 提案:解凍 30765 枚 ETH 補償受害者
根據 Aave Labs 4 月 25 日在 Arbitrum 治理論壇發布的提案,Aave Labs 要求 Arbitrum 去中心化自治組織(DAO)解凍與 Kelp DAO 攻擊相關的 30,765 枚以太坊,並將上述資金撥付「DeFi United」復甦基金,用於恢復 rsETH 的支持並補償持有者。
Market Whisper1小時前
西聯匯款將於 5 月推出 USDPT 穩定幣,並推出數位資產網路與穩定卡
Gate 新聞訊息,4 月 27 日 — 西聯匯款(Western Union)在 4 月 24 日舉行的首季財報電話會議上宣布,其以 Solana 為基礎的穩定幣 USDPT 已進入最後準備階段,預計將於下個月推出。執行長兼總裁 Devin McGranahan 表示:“不再是西聯匯款是否會進入數位資產的問題;而是我們能以多快的速度進行規模擴張。 在我們策略的基礎之上,是 USDPT,我們以美元支援的穩定幣。”
GateNews1小時前
Jupiter Lend 將 JLP/JupUSD 借款上限提高至 $40 百萬
Gate News 訊息,4 月 27 日——Jupiter Lend 已將其 JLP/JupUSD 借款上限從 $25 百萬提高到 $40 百萬。用戶現在可以借入最高 85% LTV,或在 JLP 上執行遞迴操作。
該協議透過社群媒體宣布了此調整
GateNews2小時前
