Scallop 废弃 V2 合约遭利用，15 万枚 SUI 被盗后宣布全额赔偿

Sui Network 去中心化借贷协议 Scallop 于 4 月 26 日（周日）通过 X 平台发布官方公告，确认遭受漏洞攻击，攻击者从与 sSUI spool 关联的废弃奖励合约中提取约 150,000 枚 SUI。根据官方声明，核心资金池及用户存款未受影响，协议已恢复存取款，确认将以公司资金全额赔偿所有损失。

事件时间线与 Scallop 官方回应

根据 Scallop 官方 X 平台公告（4 月 26 日 12:50 UTC），攻击目标为 sSUI spool 的附属奖励合约，该合约为协议针对 SUI 存款者的激励层，非核心借贷逻辑。Scallop 团队在事件发生后数分钟内冻结受影响合约，核心合约冻结于两小时内解除，提款及充值于 14:42 UTC 恢复。

Scallop 官方声明表示：“Scallop 将全额弥补 100% 的损失。”

漏洞技术分析：2023 年废弃套件的未初始化计数器

（来源：Vadim）

根据链上独立分析，攻击入口点为 Scallop 于 2023 年 11 月部署的废弃 V2 spool 套件，距本次攻击发生时间逾 17 个月。在 Sui Network 的技术架构下，已部署的套件不可更改；除非明确设置版本控制，否则旧版本仍可被调用。

攻击者识别出套件中未初始化的 last_index 计数器，此计数器用于追踪质押者的累积奖励。攻击者质押约 136,000 枚 sSUI，系统将此仓位视为自 2023 年 8 月 spool 启动以来一直存在的仓位。经过约 20 个月的指数累积，spool 指数成长至约 11.9 亿，使攻击者获取约 162 兆奖励积分，并以 1:1 比例兑换为 150,000 枚 SUI。

链上交易记录可查询哈希值：6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL

Sui DeFi 近期漏洞事件记录

根据公开报道，2026 年 4 月初，Sui Network 上的 Volo Protocol 发生类似攻击，攻击目标同为附属合约而非核心协议逻辑，损失约 350 万美元。此外，攻击发生一週前，以太坊网络发生一起桥接攻击事件，约 2.92 亿美元的无担保流动性再质押代币遭窃。

Sui Foundation 与 Mysten Labs 截至本报道发布时，均未就 Scallop 事件发表公开声明。根据 Scallop 官方说明，协议计划对所有现存旧版套件进行全面审计，审计时程待定。

常见问题

此次漏洞攻击的发生时间与损失规模为何？

根据 Scallop 官方 X 平台公告，攻击发生于 2026 年 4 月 26 日（周日）12:50 UTC，攻击者从废弃的 sSUI spool 奖励合约中提取约 150,000 枚 SUI。核心借贷资金池及用户在其他市场的存款均未受影响。

Scallop 就此次攻击作出哪些官方承诺？

根据 Scallop 官方声明，协议在攻击后数分钟内冻结受影响合约，并于 14:42 UTC 恢复全部操作功能（距公告发布约两小时）。Scallop 确认以公司资金全额赔偿所有损失，用户收益不受影响，并计划对所有现存旧版套件进行全面审计。

此次漏洞的根本技术原因为何，与 Sui Network 的技术架构有何关联？

根据链上独立分析，漏洞源于 2023 年 11 月部署的废弃 V2 spool 套件中一个未初始化的 last_index 计数器。在 Sui Network 上，已部署的套件不可变更，除非明确设置版本控制，否则旧版本仍可被调用，使攻击者得以利用逾 17 个月前的废弃代码提取 150,000 枚 SUI。