Gate 新闻消息,4月26日——Scallop Protocol,这是一个运行在 Sui 区块链上的借贷平台,遭遇了一次针对其 sSUI 奖励池相关的已弃用侧合约的闪电贷漏洞利用,造成约损失 $142,000 (150,000 SUI)。此次攻击利用预言机价格行情操纵来人为压低 SUI/USDC 的兑换汇率,并以失真的价格借入资产,攻击者在同一笔交易中偿还了闪电贷,并将差额据为己有。
核心问题源于 2023 年 11 月部署的一份已弃用 V2 合约,该合约在链上仍可调用。在这个过时的合约中,一个名为 “last_index” 的关键变量在创建新账户时从未被初始化。该缺陷使攻击者能够在声称自资金池成立以来一直在质押的情况下领取奖励。由于奖励索引在 20 个月内增长至 19. 亿(1.19 billion),攻击者质押了 136,000 sSUI,但却获得了 162 万亿(162 trillion)点数的计分。由于奖励池以 1:1 的兑换率运行,这些点数会直接兑换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI,所有资金被洗劫一空。链上数据表明,偷走的资金很快通过混币服务转移,使得追回工作更加复杂。
Scallop 团队通过在临时暂停运营后解冻核心合约并恢复所有运营来做出回应。该协议确认此次漏洞仅限于已弃用的奖励合约,不影响核心协议或用户存款,且所有资金仍然安全。随后,攻击者联系团队,提出以返还被盗资金的 80% 换取白帽赏金,目前该事件正在调查中。团队将审查该缺陷为何在此前由包括 OtherSec 和 MoveBit 在内的多家公司进行的审计中未被发现。
SUI 价格在遭受该漏洞利用后保持韧性,攻击后 24 小时内上涨约 2%,并以 $0.94 交易,日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的一种趋势:主要的 DeFi 漏洞利用瞄准的已是不再使用的合约以及基础设施层,而不是核心协议逻辑;在该月的 12 起重大事件中,累计损失超过 $600 million。
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
مهاجمو Wasabi Protocol ينقلون 5.9 مليون دولار من الأموال المسروقة إلى Tornado Cash في 5 مايو
وبحسب محلل السلسلة on-chain Specter، قام مهاجمو بروتوكول Wasabi بتحويل ما يقارب 5.9 مليون دولار من الأموال المسروقة إلى Tornado Cash في 5 مايو، منهين عملية مركزية لخلط العملات. تتبع الأموال مسار تحويل معقد متعدد المراحل يتضمن اختراقات سابقة لدى KelpDAO و
GateNewsمنذ 1 س
تشارك Ripple معلومات استخباراتية عن اختراق كوريا الشمالية مع تحوّل هجمات العملات المشفرة إلى الهندسة الاجتماعية
ووفقًا لإعلان Crypto ISAC يوم الثلاثاء، يشارك Ripple معلومات استخباراتية داخلية عن الجهات الفاعلة المرتبطة بكوريا الشمالية مع قطاع العملات المشفرة، بما في ذلك نطاقات مرتبطة بالاحتيال، وعناوين المحافظ، ومؤشرات الاختراق الناتجة عن حملات اختراق حديثة.
تأتي هذه الخطوة عقب مبلغ 280 مليون دولار D
GateNewsمنذ 3 س
زاك إكس بي تي: ساهمت Tokenlon في تمكين أموال مجموعة Lazarus عبر $45M
في 4 مايو 2026، نشر المحقق على السلسلة ZachXBT تقريراً تفصيلياً يتهم مجمّع صفقات البورصة اللامركزية Tokenlon بالمساعدة على تسهيل حركة أموال غير مشروعة مرتبطة بجماعة لازاروس، وهي جماعة قرصنة كورية شمالية مرتبطة بسرقات كبرى للعملات المشفرة. ووفقاً لتقرير ZachXBT
CryptoFrontierمنذ 3 س
تسعى Aave إلى منع مصادرة بقيمة 71 مليون دولار من ETH على Arbitrum بعد استغلال rsETH
قدّمت Aave طعناً قضائياً بهدف إيقاف أمر تقييد أصدرته محكمة نيويورك وأدى إلى تجميد 71 مليون دولار بقيمة ETH على Arbitrum عقب استغلال rsETH. وتجادل الجهة المُقرضة بأن الأموال المُجمدة تعود لمستخدمي البروتوكول وليست لدائني أحكام مرتبطين بكوريا الشمالية، كما تزعم السلطات. والأمر القضائي التقييدي
GateNewsمنذ 4 س
تفتح شركة Aftermath Finance صفحة للمطالبات أمام المستخدمين المتضررين بعد الحادث الذي وقع الأسبوع الماضي
وبحسب البيان الرسمي الصادر عن Sui على X، فتح Aftermath Finance صفحة للمطالبات للمستخدمين المتأثرين بالهجوم الذي وقع الأسبوع الماضي، مع معالجة جميع عمليات الاسترداد. عند إعادة اتصال المستخدمين بـ aftermath.finance، سيقوم النظام بطلب سحب الأرصدة من Aftermath Perps. يمكن للمستخدمين المتأثرين التواصل مع ث
GateNewsمنذ 6 س
تشارك شركة Ripple معلومات استخبارية عن قراصنة كوريا الشمالية مع صناعة العملات المشفرة، مع تحوّل أساليب الهجوم إلى الهندسة الاجتماعية
حسب BlockBeats، في 5 مايو أعلنت شركة Ripple أنها تشارك معلومات استخباراتية داخلية حول التهديدات التي يشنها قراصنة من كوريا الشمالية مع صناعة العملات المشفرة عبر Crypto ISAC. وتأتي هذه الخطوة لمعالجة تحول أساسي في منهجيات الهجوم: بدلًا من استغلال ثغرات في كود العقود الذكية، فإن جهة التهديد
GateNewsمنذ 6 س
