Sui Network 分散式借貸協議 Scallop 於 4 月 26 日(周日)透過 X 平台發布官方公告,確認遭受漏洞攻擊,攻擊者從與 sSUI spool 關聯的廢棄獎勵合約中提取約 150,000 枚 SUI。根據官方聲明,核心資金池及用戶存款未受影響,協議已恢復存提款,確認將以公司資金全額賠償所有損失。
Dòng thời gian sự kiện và phản hồi chính thức từ Scallop
Theo thông báo trên nền tảng X chính thức của Scallop (12:50 UTC ngày 26 tháng 4), mục tiêu của cuộc tấn công là hợp đồng phần thưởng phụ thuộc của sSUI spool; hợp đồng này là lớp khuyến khích dành cho người gửi tiền SUI của giao thức, không phải logic cốt lõi của hoạt động vay mượn. Nhóm Scallop đã đóng băng hợp đồng bị ảnh hưởng trong vòng vài phút sau khi sự cố xảy ra; hợp đồng cốt lõi được đóng băng và việc mở khóa diễn ra trong vòng hai giờ, còn việc rút và nạp được khôi phục vào 14:42 UTC.
Tuyên bố chính thức của Scallop cho biết: “Scallop sẽ bồi hoàn toàn bộ 100% tổn thất.”
Phân tích kỹ thuật lỗ hổng: Bộ gói chưa được khởi tạo của năm 2023 đã bị bỏ
(Nguồn:Vadim)
Theo phân tích độc lập trên chuỗi, điểm xâm nhập là bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023, cách thời điểm xảy ra cuộc tấn công này hơn 17 tháng. Trong kiến trúc kỹ thuật của Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi.
Kẻ tấn công đã phát hiện bộ đếm last_index chưa được khởi tạo trong gói phần mềm; bộ đếm này dùng để theo dõi phần thưởng tích lũy của những người đặt cọc. Kẻ tấn công đã đặt cược khoảng 136,000 sSUI; hệ thống xem vị thế này như một vị thế đã tồn tại kể từ khi spool được khởi chạy từ tháng 8 năm 2023. Sau khoảng 20 tháng tích lũy theo cấp số nhân, chỉ số của spool tăng lên khoảng 1.19 tỷ, giúp kẻ tấn công nhận được khoảng 162 nghìn tỷ điểm thưởng, và được đổi theo tỷ lệ 1:1 thành 150,000 SUI.
Có thể tra cứu lịch sử giao dịch trên chuỗi theo giá trị băm (hash): 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Ghi nhận các sự kiện lỗ hổng DeFi gần đây trên Sui
Theo các bài báo đưa tin công khai, đầu tháng 4 năm 2026, Volo Protocol trên Sui Network đã xảy ra một cuộc tấn công tương tự; mục tiêu cũng là các hợp đồng phụ thuộc chứ không phải logic cốt lõi của giao thức, với thiệt hại khoảng 3.5 triệu USD. Ngoài ra, một tuần trước khi xảy ra cuộc tấn công, mạng Ethereum đã ghi nhận một vụ tấn công bắc cầu; khoảng 292 triệu USD token thanh khoản được tái đặt cọc không có bảo đảm đã bị đánh cắp.
Cho đến thời điểm bài viết này được công bố, Sui Foundation và Mysten Labs đều chưa đưa ra tuyên bố công khai về sự kiện Scallop. Theo phần giải thích chính thức của Scallop, giao thức có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn; lịch kiểm toán sẽ được xác định sau.
Câu hỏi thường gặp
Thời điểm xảy ra cuộc tấn công lỗ hổng này và quy mô thiệt hại là gì?
Theo thông báo trên nền tảng X chính thức của Scallop, cuộc tấn công xảy ra vào 12:50 UTC ngày 26 tháng 4 năm 2026 (Chủ nhật); kẻ tấn công đã rút khoảng 150,000 SUI từ hợp đồng phần thưởng của sSUI spool bị bỏ. Quỹ cho vay/ vay mượn cốt lõi và tiền gửi của người dùng trên các thị trường khác đều không bị ảnh hưởng.
Scallop đã cam kết chính thức gì cho cuộc tấn công lần này?
Theo tuyên bố chính thức của Scallop, giao thức đã đóng băng các hợp đồng bị ảnh hưởng trong vòng vài phút sau cuộc tấn công và khôi phục đầy đủ chức năng hoạt động vào 14:42 UTC (khoảng hai giờ sau khi thông báo được đăng). Scallop xác nhận sẽ bồi hoàn toàn bộ các tổn thất bằng vốn công ty, lợi ích của người dùng không bị ảnh hưởng, và có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn.
Nguyên nhân kỹ thuật cốt lõi của lỗ hổng này là gì, và có liên quan như thế nào đến kiến trúc kỹ thuật của Sui Network?
Theo phân tích độc lập trên chuỗi, lỗ hổng bắt nguồn từ một bộ đếm last_index chưa được khởi tạo trong bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023. Trên Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi, qua đó cho phép kẻ tấn công khai thác đoạn mã bị bỏ đã hơn 17 tháng trước để rút 150,000 SUI.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
AI Agent Manfred thành lập công ty, nhận ví tiền mã hóa trước khi ra mắt giao dịch vào tháng 5
AI agent Manfred đã thành lập công ty riêng và nhận được một crypto wallet cùng các giấy tờ kinh doanh, dù nó sẽ không bắt đầu giao dịch tiền mã hóa cho đến cuối tháng 5. Hiện agent đã sẵn sàng để thuê nhân sự, thực hiện thanh toán và tiến hành hoạt động kinh doanh
GateNews34phút trước
Bảo mật tài sản số chuyển sang hướng vượt ngoài khóa khi Bitgo bổ sung kiểm tra 5 lớp
Bitgo đang đẩy bảo mật tài sản số vượt xa khóa riêng với mô hình giao dịch năm lớp được thiết kế để ngăn chặn thao túng trước khi thực thi. Hệ thống kiểm tra ý định, thiết bị, danh tính, hành vi và chính sách, nhắm vào rủi ro trước khi các giao dịch được hoàn tất.
Các điểm chính:
Bitgo đã giới thiệu năm
Coinpedia4giờ trước
Riot báo cáo doanh thu từ trung tâm dữ liệu $33M khi AMD tăng gấp đôi công suất
Riot Platforms công bố 33,2 triệu USD doanh thu trung tâm dữ liệu ra mắt trong quý 1 năm 2026 và cho biết Advanced Micro Devices đã được bầu chọn để tăng gấp đôi công suất đã ký lên 50 megawatts, theo bản phát hành kết quả kinh doanh của công ty hôm thứ Năm. Mốc này đánh dấu một bước tiến quan trọng trong Riot
CryptoFrontier5giờ trước
Curve ra mắt cơ chế thu hồi nợ xấu mới, cho phép người dùng thoát ra hoặc tham gia vào việc khắc phục
Theo Curve Finance, giao thức đã giới thiệu một cơ chế thu hồi nợ xấu dựa trên thị trường, cho phép những người nắm giữ CRV bị ảnh hưởng bởi các khoản vỡ nợ trong một số thị trường cho vay lựa chọn trong nhiều chiến lược thu hồi: bán trực tiếp các khoản nợ để thoát ra, nắm giữ để chờ khả năng được khắc phục, hoặc
GateNews5giờ trước
SYNBO Ra Mắt Giao Thức Đầu Tư Trên Chuỗi Tại Chuyến Tham Quan Đại Học Ethereum Thượng Hải
Theo ChainCatcher, SYNBO đã công bố giao thức đầu tư on-chain của mình trong sự kiện tại trạm Thượng Hải của Ethereum University Tour diễn ra ở Đại học Fudan. Giao thức này nhằm giải quyết tình trạng phân mảnh trong thị trường sơ cấp hiện tại, vốn phụ thuộc nặng nề vào các bên trung gian ngoại tuyến trên bốn mảng chính
GateNews5giờ trước
Arbitrum DAO bỏ phiếu để giải phóng 30.766 ETH cho DeFi United sau cuộc tấn công của Kelp DAO
Theo The Block, Arbitrum DAO hiện đang bỏ phiếu để giải phóng khoảng 30.766 ETH bị Arbitrum Security Council phong tỏa cho sáng kiến DeFi United, được thành lập sau vụ tấn công Kelp DAO diễn ra đầu tháng này. Trong giờ đầu bỏ phiếu, 16,9 triệu ARB đã được bỏ phiếu vào
GateNews6giờ trước
