扇貝閃電攻擊從Sui獎勵合約中提取$142K

Scallop 在星期日遭遇閃電貸攻擊，攻擊者從其過時的獎勵合約中提取約 14 萬美元，該合約與其 sSUI 池相關聯

內容已棄用的合約暴露隱藏風險預言機操縱支持閃電貸策略Scallop 在審查後恢復運營
事件涉及約 15 萬 SUI，似乎依賴預言機操縱和未初始化的獎勵變數。Scallop 表示其核心協議保持安全，用戶存款依然安全，損失僅限於一個孤立的合約。

已棄用合約暴露隱藏風險

Scallop 的攻擊並未針對其主要借貸系統或當前協議代碼。相反，攻擊者與一個2023年11月的較舊V2合約互動，該合約儘管已被棄用，但仍可在鏈上調用。Sui 的不可變包設計允許已部署的合約版本保持可訪問，這使得廢棄的代碼成為被忽視的攻擊面。

安全分析師表示，該合約存在一個微妙但嚴重的缺陷。當向獎勵池添加新帳戶時，名為 last_index 的變數未被初始化。這一漏洞使攻擊者能夠看似符合獎勵資格，獲得自池開始以來累積的獎勵。

獎勵指數在約20個月內大幅增長。在質押了136,000 sSUI 後，攻擊者獲得了 162 兆獎勵點數的信用。由於該池使用一對一的獎勵兌換率，這些點數轉換成約 162,000 SUI。該池僅持有 150,000 SUI，因此攻擊者提取了所有可用餘額。

預言機操縱支持閃電貸策略

分析師還指出，攻擊者操縱了 Scallop 自定義預言機的價格餵送。攻擊者據報導壓低了 SUI 和 USDC 的匯率，在扭曲的價格下借入資產，並在同一交易中償還閃電貸。剩餘的價差成為攻擊者的利潤。

該交易遵循已知的 DeFi 攻擊模式，但其執行似乎高度針對性。攻擊者避開了活躍路由和標準 SDK 路徑，然後使用仍具有鏈上訪問權的舊代碼。鏈上數據後來顯示被盜資金通過一個基於 Sui 的混合服務轉移，這可能使追蹤和追回變得更加困難。

🚨 Scallop 遭閃電貸攻擊，損失 14 萬美元，涉及預言機操縱

詳情 👇

發生了什麼？

2026 年 4 月 26 日，Scallop 借貸協議遭遇閃電貸攻擊，目標是與其 sSUI 獎勵池相關的已棄用側合約

… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 2026 年 4 月 26 日

Scallop 在審查後恢復運營

Scallop 在發現攻擊後暫停了活動，隨後解凍了其核心合約。團隊表示存款和提取已恢復正常，並強調此問題未影響用戶資金。據報導，攻擊者聯繫了 Scallop，並提出退還80%的資金以換取白帽獎勵。

此事件為 DeFi 安全帶來一個艱難的四月。本月多起重大事件來自舊合約、適配器和基礎設施層，而非核心協議系統。到月中，報告的損失超過 $600 百萬美元，其中 Kelp DAO 和 Drift Protocol 貢獻了大部分損失。Scallop 的案例顯示，未使用的代碼仍可能帶來實時風險，也凸顯了團隊必須追蹤每個已部署的包，而不僅僅是最新的經過審計版本。