Sui Network 分散式借貸協議 Scallop 於 4 月 26 日(周日)透過 X 平台發布官方公告,確認遭受漏洞攻擊,攻擊者從與 sSUI spool 關聯的廢棄獎勵合約中提取約 150,000 枚 SUI。根據官方聲明,核心資金池及用戶存款未受影響,協議已恢復存提款,確認將以公司資金全額賠償所有損失。
Dòng thời gian sự kiện và phản hồi chính thức từ Scallop
Theo thông báo trên nền tảng X chính thức của Scallop (12:50 UTC ngày 26 tháng 4), mục tiêu của cuộc tấn công là hợp đồng phần thưởng phụ thuộc của sSUI spool; hợp đồng này là lớp khuyến khích dành cho người gửi tiền SUI của giao thức, không phải logic cốt lõi của hoạt động vay mượn. Nhóm Scallop đã đóng băng hợp đồng bị ảnh hưởng trong vòng vài phút sau khi sự cố xảy ra; hợp đồng cốt lõi được đóng băng và việc mở khóa diễn ra trong vòng hai giờ, còn việc rút và nạp được khôi phục vào 14:42 UTC.
Tuyên bố chính thức của Scallop cho biết: “Scallop sẽ bồi hoàn toàn bộ 100% tổn thất.”
Phân tích kỹ thuật lỗ hổng: Bộ gói chưa được khởi tạo của năm 2023 đã bị bỏ
(Nguồn:Vadim)
Theo phân tích độc lập trên chuỗi, điểm xâm nhập là bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023, cách thời điểm xảy ra cuộc tấn công này hơn 17 tháng. Trong kiến trúc kỹ thuật của Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi.
Kẻ tấn công đã phát hiện bộ đếm last_index chưa được khởi tạo trong gói phần mềm; bộ đếm này dùng để theo dõi phần thưởng tích lũy của những người đặt cọc. Kẻ tấn công đã đặt cược khoảng 136,000 sSUI; hệ thống xem vị thế này như một vị thế đã tồn tại kể từ khi spool được khởi chạy từ tháng 8 năm 2023. Sau khoảng 20 tháng tích lũy theo cấp số nhân, chỉ số của spool tăng lên khoảng 1.19 tỷ, giúp kẻ tấn công nhận được khoảng 162 nghìn tỷ điểm thưởng, và được đổi theo tỷ lệ 1:1 thành 150,000 SUI.
Có thể tra cứu lịch sử giao dịch trên chuỗi theo giá trị băm (hash): 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Ghi nhận các sự kiện lỗ hổng DeFi gần đây trên Sui
Theo các bài báo đưa tin công khai, đầu tháng 4 năm 2026, Volo Protocol trên Sui Network đã xảy ra một cuộc tấn công tương tự; mục tiêu cũng là các hợp đồng phụ thuộc chứ không phải logic cốt lõi của giao thức, với thiệt hại khoảng 3.5 triệu USD. Ngoài ra, một tuần trước khi xảy ra cuộc tấn công, mạng Ethereum đã ghi nhận một vụ tấn công bắc cầu; khoảng 292 triệu USD token thanh khoản được tái đặt cọc không có bảo đảm đã bị đánh cắp.
Cho đến thời điểm bài viết này được công bố, Sui Foundation và Mysten Labs đều chưa đưa ra tuyên bố công khai về sự kiện Scallop. Theo phần giải thích chính thức của Scallop, giao thức có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn; lịch kiểm toán sẽ được xác định sau.
Câu hỏi thường gặp
Thời điểm xảy ra cuộc tấn công lỗ hổng này và quy mô thiệt hại là gì?
Theo thông báo trên nền tảng X chính thức của Scallop, cuộc tấn công xảy ra vào 12:50 UTC ngày 26 tháng 4 năm 2026 (Chủ nhật); kẻ tấn công đã rút khoảng 150,000 SUI từ hợp đồng phần thưởng của sSUI spool bị bỏ. Quỹ cho vay/ vay mượn cốt lõi và tiền gửi của người dùng trên các thị trường khác đều không bị ảnh hưởng.
Scallop đã cam kết chính thức gì cho cuộc tấn công lần này?
Theo tuyên bố chính thức của Scallop, giao thức đã đóng băng các hợp đồng bị ảnh hưởng trong vòng vài phút sau cuộc tấn công và khôi phục đầy đủ chức năng hoạt động vào 14:42 UTC (khoảng hai giờ sau khi thông báo được đăng). Scallop xác nhận sẽ bồi hoàn toàn bộ các tổn thất bằng vốn công ty, lợi ích của người dùng không bị ảnh hưởng, và có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn.
Nguyên nhân kỹ thuật cốt lõi của lỗ hổng này là gì, và có liên quan như thế nào đến kiến trúc kỹ thuật của Sui Network?
Theo phân tích độc lập trên chuỗi, lỗ hổng bắt nguồn từ một bộ đếm last_index chưa được khởi tạo trong bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023. Trên Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi, qua đó cho phép kẻ tấn công khai thác đoạn mã bị bỏ đã hơn 17 tháng trước để rút 150,000 SUI.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Aave Labs đề xuất với Arbitrum: giải đông 30765 ETH để bồi thường cho nạn nhân
Theo đề xuất được Aave Labs công bố trên diễn đàn quản trị Arbitrum vào ngày 25 tháng 4, Aave Labs yêu cầu Tổ chức Tự trị Phi tập trung (DAO) của Arbitrum giải băng 30.765 ETH liên quan đến cuộc tấn công của Kelp DAO và chuyển số tiền nói trên cho Quỹ Phục hồi “DeFi United”, để khôi phục sự hỗ trợ cho rsETH và bù đắp cho người nắm giữ.
MarketWhisper52phút trước
Western Union Ra Mắt Stablecoin USDPT Vào Tháng Năm, Giới Thiệu Mạng Tài Sản Số và Thẻ Ổn Định
Tin tức Gate, 27 tháng 4 — Western Union đã công bố trong cuộc gọi công bố kết quả kinh doanh quý 1 vào ngày 24 tháng 4 rằng stablecoin USDPT của họ dựa trên Solana đang ở giai đoạn hoàn tất cuối cùng và dự kiến sẽ ra mắt vào tháng tới. Giám đốc điều hành và Chủ tịch Devin McGranahan cho biết: "Không còn là câu hỏi liệu Western
GateNews55phút trước
Jupiter Lend Tăng Hạn Mức Vay JLP/JupUSD Lên $40 Triệu
Tin tức từ Gate, ngày 27 tháng 4 — Jupiter Lend đã tăng hạn mức vay JLP/JupUSD từ $25 triệu lên $40 triệu. Người dùng hiện có thể vay tới 85% LTV hoặc thực hiện các thao tác đệ quy trên JLP.
Giao thức đã công bố việc điều chỉnh thông qua mạng xã hội
GateNews1giờ trước
Polymarket thông báo nâng cấp vào ngày 28 tháng 4: chuyển tài sản thế chấp sang pUSD, giao dịch tạm dừng khoảng 1 giờ
Theo thông báo chính thức do nhà phát triển của Polymarket đăng trên nền tảng X vào ngày 27 tháng 4, Polymarket sẽ khởi động nâng cấp toàn diện cơ sở hạ tầng nền tảng vào lúc 11:00 UTC ngày 28 tháng 4, và giao dịch sẽ tạm dừng khoảng 1 giờ. Lần nâng cấp này bao gồm hợp đồng giao dịch thế hệ mới, tái cấu trúc sổ lệnh, và giới thiệu token thế chấp mới là pUSD; tài sản thế chấp hiện có của nền tảng sẽ được chuyển từ USDC.e sang pUSD.
MarketWhisper1giờ trước
Polymarket Nâng Cấp Nền Tảng vào ngày 28 tháng 4, Di chuyển Tài sản thế chấp từ USDC.e sang pUSD
Tin tức Gate, ngày 27 tháng 4 — Polymarket thông báo rằng họ sẽ nâng cấp nền tảng của mình vào ngày 28 tháng 4 năm 2026, vào khoảng 19:00 UTC, với việc giao dịch sẽ bị tạm dừng trong khoảng một giờ trong thời gian bảo trì. Nâng cấp bao gồm hợp đồng giao dịch thế hệ mới (CTF Exchange V2), một sổ lệnh được tái tạo
GateNews2giờ trước
Curve Proposes Market-Based Recovery Plan for $700K Bad Debt in CRV-long LlamaLend Market
Tin tức từ Gate, ngày 27 tháng 4 — Nhóm Curve đã công bố một đề xuất quản trị vào ngày 27 tháng 4 để giải quyết khoản nợ xấu xấp xỉ $700,000 từ thị trường CRV-long LlamaLend, phát sinh vào ngày 10 tháng 10 năm 2025. Cơ chế khôi phục được đề xuất tận dụng tính tùy chọn (optionality) của tài sản vault CRV-long: giá trị vault tăng lên khi giá CRV tăng nhưng không chịu thêm các khoản lỗ khi giá giảm.
Đề xuất kêu gọi thiết lập một Curve stableswap với hệ số khuếch đại thấp A=2 và phí hoán đổi cao 1% để tập trung thanh khoản token vault quanh mức khả toán 71%. Các nhà kinh doanh chênh lệch giá có thể sử dụng flash loan để mua token vault và thực hiện các đợt thanh lý một phần nhằm thu lợi nhuận. Curve DAO được mời phê duyệt các biện pháp khuyến khích cho pool, với các khoản phí quản lý thu được được giữ lại dưới dạng token vault trong kho quỹ.
Nếu cơ chế này thành công, nó sẽ đóng vai trò như một giải pháp tham chiếu cho các tình huống tương tự. Đề xuất thể hiện một cách tiếp cận dựa trên thị trường để xử lý nợ xấu của giao thức thông qua thiết kế cơ chế thay vì can thiệp trực tiếp từ kho quỹ.
GateNews2giờ trước
