Sui 上的 Scallop Protocol 遭遇閃電貸攻擊，$142K 透過預言機操縱被掏空

Gate News 消息，4 月 26 日——Scallop Protocol 是一個部署在 Sui 區塊鏈上的借貸平台，遭遇針對其 sSUI 獎勵池連結的已棄用側合約的閃電貸（flash loan）漏洞利用攻擊，導致約損失 142,000 美元 (150,000 SUI)。該攻擊利用預言機價格供給操縱，透過人為壓低 SUI/USDC 的匯率來扭曲借貸資產價格，並讓攻擊者在同一筆交易中償還閃電貸，同時攫取差額。

核心問題源自一個在 2023 年 11 月部署的已棄用 V2 合約，該合約在鏈上仍可被呼叫。在這份過時合約中，一個名為 “last_index” 的關鍵變數在建立新帳戶時從未被初始化。此缺陷使攻擊者能以作為自該池啟動以來就一直在質押的身分來領取獎勵。由於獎勵指標在 20 個月內成長到 19.1 億，攻擊者質押了 136,000 sSUI，但卻獲得 162 兆點數的認列。由於獎勵池以 1:1 的匯率運作，這些點數會直接轉換為 162,000 SUI 等值的獎勵。該池僅包含 150,000 SUI，所有資金均被掏空。鏈上資料顯示，被竊資金很快透過混幣服務（mixing service）進行路由，導致追償工作變得複雜。

Scallop 的團隊回應是先暫停運作，隨後解凍核心合約並恢復所有操作。該協定確認此漏洞僅限於已棄用的獎勵合約，不影響核心協定或使用者存款，所有資金仍保持安全。攻擊者其後聯繫團隊，提出在換取白帽懸賞（white-hat bounty）的條件下歸還被竊資金的 80%，而此事件目前正在調查中。團隊將審查該缺陷如何在先前由 OtherSec 與 MoveBit 等公司進行的審計中逃過檢測。

SUI 價格在遭到攻擊後依然保持韌性，在攻擊後 24 小時內上漲約 2%，並以 0.94 美元交易，日交易量約為 $187 百萬。此事件反映 2026 年 4 月更廣泛的趨勢：大型 DeFi 漏洞攻擊正鎖定已棄用合約與基礎設施層，而非核心協定邏輯；在該月份的 12 起重大事件中，累計損失超過 $600 百萬。