当前位置:主页 > 区块链 > 资讯 > SUI币被盗事件

Sui链DeFi借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗

2026-04-27 08:58:15 | 来源: | 作者:佚名
Sui链上DeFi借贷协议Scallop于官方X 帐号发布安全事件通知,证实平台遭到攻击,造成约15 万枚SUI 损失,Scallop强调,受影响合约已被冻结,核心合约仍然安全,仅sSUI 奖励池受到波及,下面一起来看看正文介绍

Sui 链上DeFi 借贷协议Scallop 于官方X 帐号(@Scallop_io)发布安全事件通知,证实平台遭到攻击。Scallop 表示,团队发现一个与sSUI spool 奖励池相关的侧合约(side contract)遭到利用,造成约15 万枚SUI 损失。Scallop 强调,受影响合约已被冻结,核心合约仍然安全,仅sSUI 奖励池受到波及。

在后续更新中,Scallop 进一步说明:核心合约已解冻,所有操作已恢复。此问题与核心协议无关,仅限于一个已弃用的奖励合约。使用者存款未受影响,所有资金安全无虞,存提款功能已恢复正常。团队承诺将分享更多细节,并持续监控与强化协议安全。

Sui链DeFi 借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗

前NEAR 核心成员Vadim:问题出在17 个月前的旧版套件

针对此次事件,前NEAR 核心开发者Vadim(@zacodil) 在X 上发表深度技术分析,揭露漏洞细节。 Vadim 指出,攻击者非常清楚该呼叫哪一个已弃用的套件。 「不是当前运行中的程式码,也不是SDK 路径,而是2023 年11 月的一个旧版V2,数月来无人使用。这要嘛是深度逆向工程,要嘛就是有人早就知道该往哪里找。这个漏洞已经潜伏了17 个月。

Vadim 解释,spool 会追踪一个随着奖励分配而增长的index。每个用户帐户在质押时,原本应该记录当下的last_index,这样赚取的点数计算公式为:质押量× (current_index − last_index),使用者只能从加入时起赚取奖励。

但在已弃用的V2 套件中,当建立全新的spool_account 时,last_index 并未被初始化,仍保持为0。因此当update_points 执行时,计算结果变成:点数= 质押量× (current_index − 0) = 质押量× 完整历史指数。使用者被记入自2023 年8 月spool 建立以来累积的所有奖励。

Vadim 提供具体数据:spool 指数在20 个月间成长到11.9 亿。攻击者质押13.6 万枚sSUI,瞬间获得162 兆点数的记入。由于奖励池采1:1 兑换比例(分子与分母皆为1),162 兆点数直接转换为价值16.2 万枚SUI 的奖励。但奖励池内仅有15 万枚SUI,因此被全数抽干。

4 月链上安全事件皆发生在周边系统

Vadim 说明,正常使用者透过SDK 使用新套件,新套件已修复last_index 同步问题。旧版V2 套件之所以仍留在链上,是因为Sui 套件具有不可变性。 —一旦发布,每个旧版本都将永远可被呼叫。共享的Spool 与RewardsPool 物件接受来自任何版本的呼叫,攻击者绕过SDK,直接命中旧版程式码路径。

Vadim 将此归类为「Sui 过时套件类漏洞」。他指出,正确的修复方式需要在共享物件上加入版本栏位,并在每个函式中加入assert!(version == CURRENT_VERSION) 检查。没有这个机制,每一个过去发布的套件版本都将永远是活生生的攻击面。

Vadim 进一步点出,本月多数攻击事件都不是发生在核心协议程式码,而是周边系统:

  • KelpDAO:RPC 基础设施
  • Litecoin:MWEB 隐私层
  • Aethir:周边转接器的存取控制
  • Scallop:被遗忘的旧版套件

以上就是Sui链DeFi借贷协议Scallop遭骇,旧版合约漏洞致15万SUI被盗的详细内容,更多关于SUI币被盗事件的资料请关注脚本之家其它相关文章!

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:借贷协议   DeFi   Sui链   SUI币   Scallop  

你可能感兴趣的文章

更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 79278.29¥ 541328.01
    +2.24%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 2395.7¥ 16358.31
    +3.46%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 1.0001¥ 6.8288
    +0%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.4432¥ 9.8544
    +1.46%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 638.89¥ 4362.46
    +1.45%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9996¥ 6.8254
    +0%
  • solana SOL Solana

    SOL

    Solana

    $ 87.9535¥ 600.56
    +1.95%
  • tron TRX 波场

    TRX

    波场

    $ 0.3231¥ 2.2061
    -0.22%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.1007¥ 0.6875
    +2.79%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 43.131¥ 294.5
    +4.07%

币圈快讯

  • 湖北破获首起虚拟币盗窃案涉案资金超亿元

    2026-04-27 11:19
    武汉市公安局青山区分局网安大队民警郭庭宇参与侦破湖北首起虚拟币盗窃案,通过追踪资金链路、分析假钱包代码等方式,锁定并打掉一涉案资金超亿元的盗币团伙,5名嫌疑人已全部落网。该团伙通过开发假冒虚拟币钱包APP诱导用户下载实施盗币,累计下载量上万次。郭庭宇还参与侦破多起涉虚拟币犯罪案件。

  • “麻吉”愈战愈勇近一周盈利426万美元

    2026-04-27 11:15
    据Hyperinsight监测,伴随比特币今晨冲破7.9万美元,麻吉系列多单已浮盈超270万美元。今晨,麻吉继续高频操作,截止发稿,其多单持仓额已升至8618万美元,同时与清算线保持了较高的安全距离: 比特币40倍多单浮盈161万美元,清算价格71,588.6美元;以太坊25倍多单浮盈106万美元,清算价格2,154.06美元。

  • JupiterLend将JLP/JupUSD借款上限提升至4000万美元

    2026-04-27 11:13
    JupiterLend宣布,将JLP/JupUSD借款上限由2500万美元提升至4000万美元,新增1500万美元容量开放使用。

  • 韩国数字银行KBank与Ripple合作推进区块链跨境汇款技术验证

    2026-04-27 11:02
    据InsightKorea报道,韩国数字银行KBank已与区块链企业Ripple建立战略合作关系,推进基于区块链的下一代跨境汇款技术验证。双方将重点评估通过Ripple全球支付网络与基础设施,在汇款速度、成本结构和交易透明度方面的优化空间。当前合作涵盖基于数字钱包的概念验证、跨境汇款模型联合开发及数字资产领域拓展。正在进行的第二阶段测试已模拟连接银行内部系统与客户账户,并面向阿联酋和泰国测试链上资金划转。KBank目前还在评估采用Ripple的SaaS数字钱包Palisade,以提升合规与部署效率。

  • 分析:3.14%的Polymarket玩家贡献超30%收益67%失败者承担全部损失

    2026-04-27 11:02
    据Theblock报道,一篇新学术论文对2023年至2025年Polymarket所有交易进行分析后得出结论,仅有3.14%的账户被定义为“skilledwinners”(技能型赢家),他们能够持续准确预测短期价格走势和最终结果。这些技能交易者与做市商合计贡献了平台超过30%的总收益。 论文还指出,只有12%的盈利者属于高水平交易者群体,而大约60%的“幸运赢家”在另一组数据样本测试中又转为亏损。被归类为运气不好或技术差的失败者账户占总数的67%,这些账户承担了平台全部的总损失。 该论文由伦敦商学院RobertoGómez-Cram、YunhanGuo、HowardKung以及耶鲁大学TheisIngerslevJensen共同撰写,覆盖172万账户、21万余个市场,总交易量约137.6亿美元。
    • 查看更多

区块链百科

最新资讯

更多