Sui Network 去中心化借贷协议 Scallop 于 4 月 26 日(周日)通过 X 平台发布官方公告,确认遭受漏洞攻击,攻击者从与 sSUI spool 关联的废弃奖励合约中提取约 150,000 枚 SUI。根据官方声明,核心资金池及用户存款未受影响,协议已恢复存取款,确认将以公司资金全额赔偿所有损失。
事件时间线与 Scallop 官方回应
根据 Scallop 官方 X 平台公告(4 月 26 日 12:50 UTC),攻击目标为 sSUI spool 的附属奖励合约,该合约为协议针对 SUI 存款者的激励层,非核心借贷逻辑。Scallop 团队在事件发生后数分钟内冻结受影响合约,核心合约冻结于两小时内解除,提款及充值于 14:42 UTC 恢复。
Scallop 官方声明表示:“Scallop 将全额弥补 100% 的损失。”
漏洞技术分析:2023 年废弃套件的未初始化计数器
(来源:Vadim)
根据链上独立分析,攻击入口点为 Scallop 于 2023 年 11 月部署的废弃 V2 spool 套件,距本次攻击发生时间逾 17 个月。在 Sui Network 的技术架构下,已部署的套件不可更改;除非明确设置版本控制,否则旧版本仍可被调用。
攻击者识别出套件中未初始化的 last_index 计数器,此计数器用于追踪质押者的累积奖励。攻击者质押约 136,000 枚 sSUI,系统将此仓位视为自 2023 年 8 月 spool 启动以来一直存在的仓位。经过约 20 个月的指数累积,spool 指数成长至约 11.9 亿,使攻击者获取约 162 兆奖励积分,并以 1:1 比例兑换为 150,000 枚 SUI。
链上交易记录可查询哈希值:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Sui DeFi 近期漏洞事件记录
根据公开报道,2026 年 4 月初,Sui Network 上的 Volo Protocol 发生类似攻击,攻击目标同为附属合约而非核心协议逻辑,损失约 350 万美元。此外,攻击发生一週前,以太坊网络发生一起桥接攻击事件,约 2.92 亿美元的无担保流动性再质押代币遭窃。
Sui Foundation 与 Mysten Labs 截至本报道发布时,均未就 Scallop 事件发表公开声明。根据 Scallop 官方说明,协议计划对所有现存旧版套件进行全面审计,审计时程待定。
常见问题
此次漏洞攻击的发生时间与损失规模为何?
根据 Scallop 官方 X 平台公告,攻击发生于 2026 年 4 月 26 日(周日)12:50 UTC,攻击者从废弃的 sSUI spool 奖励合约中提取约 150,000 枚 SUI。核心借贷资金池及用户在其他市场的存款均未受影响。
Scallop 就此次攻击作出哪些官方承诺?
根据 Scallop 官方声明,协议在攻击后数分钟内冻结受影响合约,并于 14:42 UTC 恢复全部操作功能(距公告发布约两小时)。Scallop 确认以公司资金全额赔偿所有损失,用户收益不受影响,并计划对所有现存旧版套件进行全面审计。
此次漏洞的根本技术原因为何,与 Sui Network 的技术架构有何关联?
根据链上独立分析,漏洞源于 2023 年 11 月部署的废弃 V2 spool 套件中一个未初始化的 last_index 计数器。在 Sui Network 上,已部署的套件不可变更,除非明确设置版本控制,否则旧版本仍可被调用,使攻击者得以利用逾 17 个月前的废弃代码提取 150,000 枚 SUI。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Solana 选用 Falcon 用于后量子密码学,迁移准备已完成
Gate 新闻消息,4月27日——Solana 官方团队发布了一份全面的量子计算路线图,重申量子威胁仍需数年时间,而生态系统已经完成了广泛的研究与技术准备。
两支独立的验证者客户端开发团队 Anza 和 Firedancer 共同代表了网络质押中的重要部分,已各自独立确定需要一种签名更紧凑的后量子数字签名方案,以适用于高吞吐量的区块链。两支团队都选择了 Falcon 方案,并已在 GitHub 上发布了初步实现代码。
此外,由 Blueshift 开发的 Solana Winternitz Vault 已在生态系统中运行超过两年,为实现直接的抗量子路径提供了保障。今年早些时候,Google Quantum AI 在其白皮书中将该 Vault 引用为前瞻性开展后量子工作的领先案例。
Solana 当前的量子路线图包含三个部分:继续量子研究,并评估 Falcon 以及替代方案;当量子成为可信威胁时,为新钱包采用后量子方案;以及将现有钱包迁移到所选方案。网络表示,迁移工作是可控的,能够快速完成,预计网络性能不会受到影响。
GateNews18 分钟前
Alphea 推出面向 AI 的原生第 1 层区块链,支持自主代理执行
Gate News 消息,4月27日——Alphea,这一款为 AI 基础设施打造、近日发布的第 1 层区块链平台,已于 2026 年香港 Web3 论坛上正式展示其去中心化执行环境。该平台将执行、持久化内存和可验证计算作为基础的链上特性集成,而非可选的应用层组件,使自主 AI 代理能够独立运行。
GateNews40 分钟前
Lise 在受监管交易所完成全球首个代币化 IPO
Gate News消息,4月27日——Lise (Lightning 股票交易所),一家总部位于巴黎、受监管的交易所,已完成其所称的全球首个通过完全受监管、原生代币化市场基础设施执行的首次公开募股 (IPO)。ST GROUP,这家法国工业型中小企业为国防和航空航天领域供应
GateNews1小时前
Maple Finance 跨链桥总交易量突破 $7B
Gate 新闻消息,4月27日——Maple Finance 周一宣布,其跨链桥已累计处理超过 $7 billion 的总交易量,标志着该协议的重要里程碑。
这一成就反映出 Maple 的美元收益资产在多个区块链生态系统中的采用正在增长,表明市场对收益型稳定币产品的需求正在超越单链部署。Maple 的桥接基础设施降低了跨链资产转移的摩擦,使用户能够在不同链上访问其固定收益产品。
GateNews1小时前
比特币分叉争议:eCash 计划瞄准中本聪的隐藏持仓
由开发者 Paul Sztorc 提出的一个新的比特币硬分叉提案在加密货币社区引发了激烈的争论。计划中的分叉名为 eCash,预计将于 2026 年 8 月上线,并以 1:1 的比例向比特币持有者分发代币。然而,该提案由于以下原因遭到了批评
CryptoMeter io1小时前
Tether 发布 Mining Development Kit (MDK):面向比特币矿工的开源框架
Gate News 消息,4月27日——Tether 宣布推出 Mining Development Kit (MDK),这是一款开源的全栈开发框架,旨在为比特币矿工与开发者提供对整个基础设施堆栈的统一控制。
MDK 具备开放的模块化架构,并采用与平台无关的接口,结合 JavaScript 后端 SDK 和 React UI 组件库,用以替代长期困扰挖矿业务的零散专有系统。该框架支持 Windows、macOS 和 Linux,适用于从家用矿工到千兆瓦级规模运营的所有用户,帮助避免供应商锁定。工具包包含可独立部署的 MDK Core 核心层以及 UI 开发套件,使得能够快速开发运行监控仪表板、自动化工作流、矿池管理工具以及分析数据管道。
Tether 首席执行官 Paolo Ardoino 表示,MDK 将为以自动化与优化为核心的下一代比特币挖矿提供基础设施支持。这是在 Tether 先前将其挖矿操作系统 MOS 开源之后的延续。
GateNews3小时前
