Gate 新闻消息,4月26日——Scallop Protocol,这是一个运行在 Sui 区块链上的借贷平台,遭遇了一次针对其 sSUI 奖励池相关的已弃用侧合约的闪电贷漏洞利用,造成约损失 $142,000 (150,000 SUI)。此次攻击利用预言机价格行情操纵来人为压低 SUI/USDC 的兑换汇率,并以失真的价格借入资产,攻击者在同一笔交易中偿还了闪电贷,并将差额据为己有。
核心问题源于 2023 年 11 月部署的一份已弃用 V2 合约,该合约在链上仍可调用。在这个过时的合约中,一个名为 “last_index” 的关键变量在创建新账户时从未被初始化。该缺陷使攻击者能够在声称自资金池成立以来一直在质押的情况下领取奖励。由于奖励索引在 20 个月内增长至 19. 亿(1.19 billion),攻击者质押了 136,000 sSUI,但却获得了 162 万亿(162 trillion)点数的计分。由于奖励池以 1:1 的兑换率运行,这些点数会直接兑换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI,所有资金被洗劫一空。链上数据表明,偷走的资金很快通过混币服务转移,使得追回工作更加复杂。
Scallop 团队通过在临时暂停运营后解冻核心合约并恢复所有运营来做出回应。该协议确认此次漏洞仅限于已弃用的奖励合约,不影响核心协议或用户存款,且所有资金仍然安全。随后,攻击者联系团队,提出以返还被盗资金的 80% 换取白帽赏金,目前该事件正在调查中。团队将审查该缺陷为何在此前由包括 OtherSec 和 MoveBit 在内的多家公司进行的审计中未被发现。
SUI 价格在遭受该漏洞利用后保持韧性,攻击后 24 小时内上涨约 2%,并以 $0.94 交易,日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的一种趋势:主要的 DeFi 漏洞利用瞄准的已是不再使用的合约以及基础设施层,而不是核心协议逻辑;在该月的 12 起重大事件中,累计损失超过 $600 million。
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تسجيل اختراقات العملات المشفرة مستوى قياسي في أبريل مع أكثر من 20 عملية استغلال وتكبّد خسائر بقيمة 600 مليون دولار أو أكثر
وفقاً لـ DeFi Llama، ارتفع عدد اختراقات التمويل اللامركزي إلى مستوى قياسي في أبريل، حيث سجّلت أكثر من 20 عملية استغلال، لتصبح أكثر الشهور اختراقاً في تاريخ العملات المشفرة من حيث عدد الحوادث. وبلغت الخسائر الإجمالية أكثر من 600 مليون دولار، وجاء اختراق KelpDAO البالغ 292 مليون دولار واختراق Drift Protocol البالغ 280 مليون دولار في مقدمة القائمة كـ
GateNewsمنذ 1 س
عملاء كوريا الشمالية استهدفوا Drift في عملية $285M السرقة
## عملية سرقة اختراق دريفت
قام جواسيس مدعومون من الدولة الكورية الشمالية بتنفيذ عملية وجهاً لوجه تستهدف منصة العملات المشفرة Drift بهدف الاستيلاء على 285 مليون دولار، وفقاً للتقارير. شملت العملية أشهرًا من التعامل المباشر مع الهدف.
## التهديد السيبراني الأوسع لكوريا الشمالية
وفقاً ل
CryptoFrontierمنذ 3 س
تعرضت Purrlend لاختراق أمني بقيمة 1.52 مليون دولار في 25 أبريل عبر HyperEVM وMegaETH
وبحسب تقرير الحوادث الرسمي لدى Purrlend، ففي 25 أبريل تعرض البروتوكول لاختراق أمني أدى إلى خسائر بلغت نحو 1.52 مليون دولار عبر عمليات النشر على HyperEVM وMegaETH. إذ استولى المهاجمون على محفظة متعددة التوقيع بنسبة 2/3 ومنحوا أنفسهم امتيازات إدارية بما في ذلك
GateNewsمنذ 3 س
بوليماركت يستعين بـChainalysis لملاحقة التداول من الداخل، بينما يسعى إلى تقييم بقيمة 15 مليار دولار وموافقة من لجنة تداول السلع الآجلة (CFTC)
ووفقًا لـ The Block، استعانت Polymarket يوم الخميس بشركة Chainalysis للمساعدة في مكافحة التداول من الداخل والتلاعب في السوق، حيث يسعى سوق التنبؤات إلى جمع 400 مليون دولار بتقييم يبلغ 15 مليار دولار والحصول على موافقة من لجنة تداول العقود الآجلة للسلع لإعادة إطلاقه في السوق الأمريكية.
GateNewsمنذ 4 س
