当前位置:主页 > 区块链 > 资讯 > SUI币被盗事件

Sui链DeFi借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗

2026-04-27 08:58:15 | 来源: | 作者:佚名
Sui链上DeFi借贷协议Scallop于官方X 帐号发布安全事件通知,证实平台遭到攻击,造成约15 万枚SUI 损失,Scallop强调,受影响合约已被冻结,核心合约仍然安全,仅sSUI 奖励池受到波及,下面一起来看看正文介绍

Sui 链上DeFi 借贷协议Scallop 于官方X 帐号(@Scallop_io)发布安全事件通知,证实平台遭到攻击。Scallop 表示,团队发现一个与sSUI spool 奖励池相关的侧合约(side contract)遭到利用,造成约15 万枚SUI 损失。Scallop 强调,受影响合约已被冻结,核心合约仍然安全,仅sSUI 奖励池受到波及。

在后续更新中,Scallop 进一步说明:核心合约已解冻,所有操作已恢复。此问题与核心协议无关,仅限于一个已弃用的奖励合约。使用者存款未受影响,所有资金安全无虞,存提款功能已恢复正常。团队承诺将分享更多细节,并持续监控与强化协议安全。

Sui链DeFi 借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗

前NEAR 核心成员Vadim:问题出在17 个月前的旧版套件

针对此次事件,前NEAR 核心开发者Vadim(@zacodil) 在X 上发表深度技术分析,揭露漏洞细节。 Vadim 指出,攻击者非常清楚该呼叫哪一个已弃用的套件。 「不是当前运行中的程式码,也不是SDK 路径,而是2023 年11 月的一个旧版V2,数月来无人使用。这要嘛是深度逆向工程,要嘛就是有人早就知道该往哪里找。这个漏洞已经潜伏了17 个月。

Vadim 解释,spool 会追踪一个随着奖励分配而增长的index。每个用户帐户在质押时,原本应该记录当下的last_index,这样赚取的点数计算公式为:质押量× (current_index − last_index),使用者只能从加入时起赚取奖励。

但在已弃用的V2 套件中,当建立全新的spool_account 时,last_index 并未被初始化,仍保持为0。因此当update_points 执行时,计算结果变成:点数= 质押量× (current_index − 0) = 质押量× 完整历史指数。使用者被记入自2023 年8 月spool 建立以来累积的所有奖励。

Vadim 提供具体数据:spool 指数在20 个月间成长到11.9 亿。攻击者质押13.6 万枚sSUI,瞬间获得162 兆点数的记入。由于奖励池采1:1 兑换比例(分子与分母皆为1),162 兆点数直接转换为价值16.2 万枚SUI 的奖励。但奖励池内仅有15 万枚SUI,因此被全数抽干。

4 月链上安全事件皆发生在周边系统

Vadim 说明,正常使用者透过SDK 使用新套件,新套件已修复last_index 同步问题。旧版V2 套件之所以仍留在链上,是因为Sui 套件具有不可变性。 —一旦发布,每个旧版本都将永远可被呼叫。共享的Spool 与RewardsPool 物件接受来自任何版本的呼叫,攻击者绕过SDK,直接命中旧版程式码路径。

Vadim 将此归类为「Sui 过时套件类漏洞」。他指出,正确的修复方式需要在共享物件上加入版本栏位,并在每个函式中加入assert!(version == CURRENT_VERSION) 检查。没有这个机制,每一个过去发布的套件版本都将永远是活生生的攻击面。

Vadim 进一步点出,本月多数攻击事件都不是发生在核心协议程式码,而是周边系统:

  • KelpDAO:RPC 基础设施
  • Litecoin:MWEB 隐私层
  • Aethir:周边转接器的存取控制
  • Scallop:被遗忘的旧版套件

以上就是Sui链DeFi借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗的详细内容,更多关于SUI币被盗事件的资料请关注脚本之家其它相关文章!

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:借贷协议   DeFi   Sui链   SUI币   Scallop  

你可能感兴趣的文章

币圈快讯

  • 过去24小时全网爆仓1.01亿美元多单爆仓5570.18万美元空单爆仓4578.41万美元

    2026-06-14 00:30
    据Coinglass数据,过去24小时全网爆仓1.01亿美元,多单爆仓5,570.18万美元,空单爆仓4,578.41万美元。其中比特币多单爆仓445.38万美元,比特币空单爆仓668.43万美元,以太坊多单爆仓369.72万美元,以太坊空单爆仓374.9万美元。 此外,最近24小时,全球共有77,433人被爆仓,最大单笔爆仓单发生在Hyperliquid-HYPE-USD价值72.15万美元。

  • ETH当前全网8小时平均资金费率为0.001%

    2026-06-14 00:00
    据Coinglass数据显示,ETH当前全网8小时平均资金费率为0.001%。当前主流交易所中,Binance费率为0.0026%,OKX费率为-0.0029%,Bybit费率为0.005%,Gate费率为-0.003%。

  • BTC当前全网8小时平均资金费率为-0.0011%

    2026-06-14 00:00
    据Coinglass数据显示,BTC当前全网8小时平均资金费率为-0.0011%。当前主流交易所中,Binance费率为0.0009%,OKX费率为-0.0064%,Bybit费率为0.0013%,Gate费率为-0.0069%。

  • 过去24小时全网爆仓1.24亿美元主爆多单

    2026-06-13 23:27
    Coinglass数据显示,过去24小时全网爆仓1.24亿美元,其中多单爆仓7545.52万美元,空单爆仓4823.17万美元,此外BTC爆仓金额达到1447.6万美元,ETH爆仓金额达到1236.76万美元。

  • CryptoQuant分析师称BTC交易所流入激增至11.4万枚稳定币流出削弱买盘引发市场结构性承压

    2026-06-13 23:13
    CryptoQuant分析师AxelAdler发文表示,比特币(BTC)正在大量流入交易所,而稳定币流动性持续流出,市场供需两端同时恶化,被认为是比特币自5月高点回落约22%的重要原因。数据显示,比特币30日净交易所流量指标已转为明显正值,当前约为+11.4万枚BTC。相比5月初约-8.5万至-11.5万枚BTC的净流出状态,市场已从积累阶段转向分配阶段。该指标在6月初一度升至约+16.7万枚BTC,表明更多持币者将BTC转入交易所,增加潜在卖压。与此同时,稳定币30日均线净流量持续处于负值,目前约为-1.05亿美元。5月初该指标仍处于+4000万至+9000万美元区间,代表市场存在较强买入流动性;但自5月中旬后转负,并在6月初扩大至约-1.5亿至-1.7亿美元,显示稳定币资金正在离开交易所,市场“弹药”减少。
    • 查看更多

最新资讯

更多
更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 64023.2¥ 433059.32
    +0.13%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 1676.52¥ 11340.14
    +0.31%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 0.9995¥ 6.7607
    +0.01%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 609.05¥ 4119.67
    +0.1%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1.0003¥ 6.7661
    +0%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.1468¥ 7.757
    +1.12%
  • solana SOL Solana

    SOL

    Solana

    $ 68.0487¥ 460.28
    +0.19%
  • tron TRX 波场

    TRX

    波场

    $ 0.3173¥ 2.1462
    +1.02%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 60.1812¥ 407.07
    -1.13%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.087949¥ 0.5948
    -0.69%

区块链百科