🔥 WCTC S8 全球交易赛正式开赛!
8,000,000 USDT 超级奖池解锁开启
🏆 团队赛:上半场正式开启,预报名阶段 5,500+ 战队现已集结
交易量收益额双重比拼,解锁上半场 1,800,000 USDT 奖池
🏆 个人赛:现货、合约、TradFi、ETF、闪兑、跟单齐上阵
全场交易量比拼,瓜分 2,000,000 USDT 奖池
🏆 王者 PK 赛:零门槛参与,实时匹配享受战斗快感
收益率即时 PK,瓜分 1,600,000 USDT 奖池
活动时间:2026 年 4月 23 日 16:00:00 -2026 年 5 月 20 日 15:59:59 UTC+8
⬇️ 立即参与:https://www.gate.com/competition/wctc-s8
#WCTCS8
扇贝闪电攻击从Sui奖励合约中提取了$142K
Scallop 在周日遭遇闪电贷攻击,攻击者从其过时的奖励合约中提取了约142,000美元,合约与其 sSUI 池相关联
内容已弃用 合约暴露隐藏风险 预言机操控 支持闪电贷策略 Scallop 在审查后恢复运营
事件涉及大约150,000个SUI,似乎依赖于预言机操控和未初始化的奖励变量。Scallop表示其核心协议保持安全,用户存款依然安全,损失仅限于一个孤立的合约。
已弃用合约暴露隐藏风险
Scallop的攻击并未针对其主要借贷系统或当前协议代码。相反,攻击者与一个2023年11月的旧V2合约交互,该合约尽管已被弃用,但仍可在链上调用。Sui的不可变包设计允许已部署的合约版本保持可访问状态,这使得废弃代码变成了一个被忽视的攻击面。
安全分析师表示,该合约存在一个微妙但严重的缺陷。当向奖励池添加新账户时,名为last_index的变量未被初始化。这个漏洞允许攻击者看似符合条件,获得自奖励池开始以来累积的奖励。
奖励指数在大约20个月内急剧增长。攻击者在质押136,000个sSUI后,获得了19283746565748392亿亿奖励积分。由于奖励池采用一比一的奖励兑换率,这些积分转化为大约162,000个SUI。奖励池中仅有150,000个SUI,因此攻击者耗尽了可用余额。
预言机操控支持闪电贷策略
分析师还指出了对Scallop定制预言机价格的操控。攻击者据称压低了SUI和USDC的价格,在扭曲的价格下借入资产,并在同一交易中偿还闪电贷。剩余的差价成为攻击者的利润。
该交易遵循已知的DeFi漏洞模式,但其执行似乎高度针对性。攻击者避免了主动路径和标准SDK路径,然后使用仍具有链上访问权限的旧代码。链上数据后来显示,被盗资金通过一个基于Sui的混合服务转移,这可能会增加追踪和追回的难度。
Scallop 在审查后恢复运营
Scallop在检测到攻击后暂停了活动,随后解冻了其核心合约。团队表示存款和取款已正常恢复,并强调此事件未影响用户资金。据报道,攻击者联系了Scallop,并提出归还80%的资金以换取白帽奖励。
此案为DeFi安全带来了一个艰难的四月。本月发生的几起重大事件都来自旧合约、适配器和基础设施层,而非核心协议系统。四月的损失报告在月中已超过千万美元,其中Kelp DAO和Drift Protocol贡献了大部分损失。Scallop的案例显示,未使用的代码仍可能带来实时风险,也凸显了团队必须追踪每个已部署的包,而不仅仅是最新的经过审计版本。