Sui 上的 Scallop Protocol 遭遇闪电贷攻击，$142K 经由预言机操纵被掏空

Gate 新闻消息，4月26日——Scallop Protocol，这是一个运行在 Sui 区块链上的借贷平台，遭遇了一次针对其 sSUI 奖励池相关的已弃用侧合约的闪电贷漏洞利用，造成约损失 $142,000 (150,000 SUI)。此次攻击利用预言机价格行情操纵来人为压低 SUI/USDC 的兑换汇率，并以失真的价格借入资产，攻击者在同一笔交易中偿还了闪电贷，并将差额据为己有。

核心问题源于 2023 年 11 月部署的一份已弃用 V2 合约，该合约在链上仍可调用。在这个过时的合约中，一个名为 "last_index" 的关键变量在创建新账户时从未被初始化。该缺陷使攻击者能够在声称自资金池成立以来一直在质押的情况下领取奖励。由于奖励索引在 20 个月内增长至 19. 亿（1.19 billion），攻击者质押了 136,000 sSUI，但却获得了 162 万亿（162 trillion）点数的计分。由于奖励池以 1:1 的兑换率运行，这些点数会直接兑换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI，所有资金被洗劫一空。链上数据表明，偷走的资金很快通过混币服务转移，使得追回工作更加复杂。

Scallop 团队通过在临时暂停运营后解冻核心合约并恢复所有运营来做出回应。该协议确认此次漏洞仅限于已弃用的奖励合约，不影响核心协议或用户存款，且所有资金仍然安全。随后，攻击者联系团队，提出以返还被盗资金的 80% 换取白帽赏金，目前该事件正在调查中。团队将审查该缺陷为何在此前由包括 OtherSec 和 MoveBit 在内的多家公司进行的审计中未被发现。

SUI 价格在遭受该漏洞利用后保持韧性，攻击后 24 小时内上涨约 2%，并以 $0.94 交易，日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的一种趋势：主要的 DeFi 漏洞利用瞄准的已是不再使用的合约以及基础设施层，而不是核心协议逻辑；在该月的 12 起重大事件中，累计损失超过 $600 million。