Scallop 廢棄 V2 合約遭利用，15 萬枚 SUI 被盜後宣布全額賠償

Sui Network 去中心化借貸協議 Scallop 於 4 月 26 日（周日）透過 X 平台發布官方公告，確認遭受漏洞攻擊，攻擊者從與 sSUI spool 關聯的廢棄獎勵合約中提取約 150,000 枚 SUI。根據官方聲明，核心資金池及用戶存款未受影響，協議已恢復存提款，確認將以公司資金全額賠償所有損失。

事件時間線與 Scallop 官方回應

根據 Scallop 官方 X 平台公告（4 月 26 日 12:50 UTC），攻擊目標為 sSUI spool 的附屬獎勵合約，該合約為協議針對 SUI 存款者的激勵層，非核心借貸邏輯。Scallop 團隊在事件發生後數分鐘內凍結受影響合約，核心合約凍結於兩小時內解除，提款及充值於 14:42 UTC 恢復。

Scallop 官方聲明表示：「Scallop 將全額彌補 100% 的損失。」

漏洞技術分析：2023 年廢棄套件的未初始化計數器

（來源：Vadim）

根據鏈上獨立分析，攻擊入口點為 Scallop 於 2023 年 11 月部署的廢棄 V2 spool 套件，距本次攻擊發生時間逾 17 個月。在 Sui Network 的技術架構下，已部署的套件不可更改；除非明確設定版本控制，否則舊版本仍可被呼叫。

攻擊者識別出套件中未初始化的 last_index 計數器，此計數器用於追蹤質押者的累積獎勵。攻擊者質押約 136,000 枚 sSUI，系統將此倉位視為自 2023 年 8 月 spool 啟動以來一直存在的倉位。經約 20 個月的指數累積，spool 指數成長至約 11.9 億，使攻擊者獲取約 162 兆獎勵積分，並以 1:1 比例兌換為 150,000 枚 SUI。

鏈上交易記錄可查詢哈希值：6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL

Sui DeFi 近期漏洞事件記錄

根據公開報道，2026 年 4 月初，Sui Network 上的 Volo Protocol 發生類似攻擊，攻擊目標同為附屬合約而非核心協議邏輯，損失約 350 萬美元。此外，攻擊發生一週前，以太坊網路發生一起橋接攻擊事件，約 2.92 億美元的無擔保流動性再質押代幣遭竊。

Sui Foundation 與 Mysten Labs 截至本報導發布時，均未就 Scallop 事件發表公開聲明。根據 Scallop 官方說明，協議計劃對所有現存舊版套件進行全面審計，審計時程待定。

常見問題

此次漏洞攻擊的發生時間與損失規模為何？

根據 Scallop 官方 X 平台公告，攻擊發生於 2026 年 4 月 26 日（周日）12:50 UTC，攻擊者從廢棄的 sSUI spool 獎勵合約中提取約 150,000 枚 SUI。核心借貸資金池及用戶在其他市場的存款均未受影響。

Scallop 就此次攻擊作出哪些官方承諾？

根據 Scallop 官方聲明，協議在攻擊後數分鐘內凍結受影響合約，並於 14:42 UTC 恢復全部操作功能（距公告發布約兩小時）。Scallop 確認以公司資金全額賠償所有損失，用戶收益不受影響，並計劃對所有現存舊版套件進行全面審計。

此次漏洞的根本技術原因為何，與 Sui Network 的技術架構有何關聯？

根據鏈上獨立分析，漏洞源於 2023 年 11 月部署的廢棄 V2 spool 套件中一個未初始化的 last_index 計數器。在 Sui Network 上，已部署的套件不可變更，除非明確設定版本控制，否則舊版本仍可被呼叫，使攻擊者得以利用逾 17 個月前的廢棄程式碼提取 150,000 枚 SUI。