Tấn công Flash của Scallop rút sạch $142K khỏi hợp đồng thưởng Sui

Scallop gặp phải vụ tấn công vay nhanh vào Chủ nhật sau khi kẻ khai thác rút khoảng 142.000 đô la từ một hợp đồng phần thưởng lỗi thời liên kết với bể sSUI của nó

Nội dungHợp đồng lỗi thời tiết lộ rủi ro ẩn Tác động của Oracle Hỗ trợ Chiến lược Vay nhanh Scallop Tiếp tục hoạt động sau khi xem xétSự cố liên quan đến khoảng 150.000 SUI và dường như dựa vào thao túng oracle và biến số phần thưởng chưa khởi tạo. Scallop cho biết giao thức cốt lõi của họ vẫn an toàn, tiền gửi của người dùng vẫn an toàn, và thiệt hại chỉ giới hạn trong một hợp đồng bị cô lập.

Hợp đồng lỗi thời tiết lộ rủi ro ẩn

Vụ khai thác của Scallop không nhắm vào hệ thống cho vay chính hoặc mã giao thức hiện tại của họ. Thay vào đó, kẻ tấn công đã tương tác với một hợp đồng V2 cũ hơn từ tháng 11 năm 2023 vẫn còn khả năng gọi trên chuỗi mặc dù đã bị lỗi thời. Thiết kế gói bất biến của Sui cho phép các phiên bản hợp đồng đã triển khai vẫn có thể truy cập, khiến mã bỏ đi trở thành một bề mặt tấn công bị bỏ qua.

Các nhà phân tích an ninh cho biết hợp đồng chứa một lỗi tinh vi nhưng nghiêm trọng. Khi một tài khoản mới được thêm vào bể phần thưởng, biến số có tên last_index không được khởi tạo. Khoảng trống này cho phép kẻ tấn công xuất hiện đủ điều kiện nhận phần thưởng tích lũy kể từ khi bể bắt đầu.

Chỉ số phần thưởng đã tăng mạnh trong khoảng 20 tháng. Sau khi đặt cược 136.000 sSUI, kẻ tấn công đã nhận được tín dụng cho 162 nghìn tỷ điểm thưởng. Vì bể sử dụng tỷ lệ đổi thưởng một-một, những điểm này quy đổi thành khoảng 162.000 SUI. Bể chỉ chứa 150.000 SUI, vì vậy kẻ tấn công đã rút hết số dư khả dụng.

Thao túng Oracle hỗ trợ chiến lược vay nhanh

Các nhà phân tích cũng chỉ ra việc thao túng các nguồn giá oracle tùy chỉnh của Scallop. Kẻ tấn công được cho là đã đẩy giá SUI và USDC xuống thấp, vay các tài sản với giá bị bóp méo, và hoàn trả khoản vay nhanh trong cùng một giao dịch. Phần chênh lệch còn lại trở thành lợi nhuận của kẻ tấn công.

Giao dịch này theo một mẫu khai thác DeFi đã biết, nhưng cách thực hiện dường như rất nhắm mục tiêu. Kẻ tấn công tránh các tuyến đường hoạt động và các đường dẫn SDK tiêu chuẩn, rồi sử dụng mã cũ vẫn còn khả năng truy cập trên chuỗi. Dữ liệu trên chuỗi sau đó cho thấy số tiền bị đánh cắp đã chuyển qua một dịch vụ trộn dựa trên Sui, điều này có thể làm phức tạp quá trình phục hồi.

🚨 Scallop bị tấn công bằng khai thác vay nhanh trên Sui, mất 142.000 đô la trong vụ thao túng oracle

CHI TIẾT 👇

CHUYỆN GÌ ĐÃ XẢY RA?

Vào ngày 26 tháng 4 năm 2026, giao thức cho vay của Scallop đã gặp phải vụ khai thác vay nhanh nhắm vào một hợp đồng phụ lỗi thời liên quan đến bể phần thưởng sSUI của nó

… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26 tháng 4 năm 2026

Scallop tiếp tục hoạt động sau khi xem xét

Scallop đã tạm dừng hoạt động sau khi phát hiện ra vụ khai thác, rồi sau đó mở khóa các hợp đồng cốt lõi của mình. Nhóm cho biết các khoản gửi và rút tiền đã hoạt động bình thường trở lại và nhấn mạnh rằng vấn đề không ảnh hưởng đến quỹ của người dùng. Kẻ tấn công được cho là đã liên hệ với Scallop và đề nghị hoàn trả 80 phần trăm số tiền để đổi lấy phần thưởng bảo vệ.

Vụ việc này góp phần vào một tháng Tư khó khăn về an ninh DeFi. Một số sự cố lớn trong tháng này xuất phát từ các hợp đồng cũ, bộ chuyển đổi, và các lớp hạ tầng thay vì các hệ thống giao thức cốt lõi. Các thiệt hại được báo cáo trong các sự cố tháng Tư vượt quá $600 triệu đô la vào giữa tháng, với Kelp DAO và Drift Protocol góp phần lớn vào thiệt hại. Vụ việc của Scallop cho thấy cách mã không sử dụng vẫn có thể tạo ra rủi ro trực tiếp. Nó cũng làm nổi bật lý do tại sao các nhóm phải theo dõi mọi gói đã triển khai, không chỉ phiên bản được kiểm tra mới nhất.