Gate News 消息,4 月 26 日——Scallop Protocol 是 Sui 区块链上的一个借贷平台,遭遇了一起针对其 sSUI 奖励池所关联的已弃用侧合约的闪电贷漏洞攻击,造成约 $142,000 (150,000 SUI) 的损失。该攻击利用预言机价格喂价操纵来人为压低 SUI/USDC 的兑换汇率,并以失真的价格借入资产,攻击者在同一笔交易内偿还闪电贷,并将差额据为己有。
核心问题源于 2023 年 11 月部署的一个已弃用 V2 合约,该合约在链上仍可被调用。在该过时合约中,名为 “last_index” 的关键变量在新账户创建时从未被初始化。此缺陷使攻击者能够在错误地作为自资金池成立以来就一直在质押的情形下领取奖励。随着奖励索引在 20 个月内增长至 1.19 billion,攻击者质押 136,000 sSUI,但却获得了 162 trillion 点数的信用。由于奖励池以 1:1 的兑换比率运行,这些点数将直接转换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI,所有资金被洗劫一空。链上数据表明,被盗资金很快通过一个混币服务转移,增加了追回难度。
Scallop 团队通过临时暂停运营来应对,然后解冻核心合约并恢复所有运营。该协议确认此次漏洞被隔离在已弃用的奖励合约中,不影响核心协议或用户存款,所有资金仍然安全。攻击者随后联系团队,提出在换取白帽赏金的情况下归还被盗资金的 80%,而该事件目前正在调查中。团队将审查该漏洞为何未在此前由包括 OtherSec 和 MoveBit 在内的公司进行的审计中被发现。
在此次漏洞攻击后,SUI 价格依然保持韧性,攻击发生后的 24 小时内上涨约 2%,并以 0.94 美元交易,日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的趋势:主要的 DeFi 漏洞攻击更多瞄准已弃用的合约和基础设施层,而非核心协议逻辑;在当月的 12 起重大事件中,累计损失超过 $600 million。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
朝鲜恐怖主义受害者对 Aave 黑客提出 $71M 索赔,并将袭击重新定性为诈骗
三起朝鲜与恐怖主义相关案件受害者的律师于周二提交了一份为期 30 页的答复,试图将 4 月 18 日的 Aave 黑客事件重新界定为欺诈而非盗窃——这一法律区分可能使攻击者获得对借入加密货币的合法所有权。受害者正寻求追回约 7100 万美元
GateNews1小时前
加密鲸鱼因冻结的 $55M DAI 被盗资金起诉 Coinbase
据一份法院文件称,一名被认定为“D.B.”的匿名加密鲸鱼于周一对 Coinbase 和一名据称窃贼提起诉讼,原因是交易所拒绝退还与 2024 年 8 月的一起加密盗窃相关的被冻结资金。原告在该事件中大约损失了价值 5500 万美元的 DAI,续
Crypto Frontier1小时前
Bitcoin Core 披露漏洞,可能让矿工导致节点崩溃
比特币核心开发者披露了一项高严重性漏洞,该漏洞可能允许矿工远程崩溃部分比特币节点。
摘要
比特币核心披露了 CVE-2024-52911,影响 29.0 之前的版本,而旧节点仍在网上暴露。
矿工需要代价高昂的工作量证明区块来触发
Cryptonews 3小时前
北韓恐攻判決持有人升級爭奪 7,100 万美元 Aave 凍结资产:援引反恐保险法
北韩恐攻案升温,7,100 万美金 Aave 冻结资产进入第三回合。原告改以 TRIA 法主张 ETH 属北韩国家财产,强调诈骗而非盗窃以突破小偷不拥有人赃物抗辩,同时挑战 Aave 的 standing 与治理地位。DeFi United 募资逾 3.28 亿美元,基金充足以补偿受影响用户。案件或将成为 DeFi 法理与 DAO 治理的关键判例。
鏈新聞abmedia5小时前
加密巨鲸起诉 Coinbase,指控冻结被盗 DAI 后拒绝归还
据 The Block 于 5 月 6 日报道,一名以化名“DB”起诉的匿名加密货币巨鲸周一对 Coinbase 及被指控的窃贼“John Doe”提起诉讼,指控 Coinbase 在其提供宣誓书证明自己为合法所有人后,仍拒绝归还与 2024 年加密货币盗窃案相关的冻结 DAI 资金。
Market Whisper6小时前
