SUI扇贝协议确认遭针对性攻击:sSUI奖励池流失15万SUI代币
基于Sui网络的DeFi协议扇贝确认遭遇攻击,其sSUI奖励池中被盗取约15万SUI代币。调查发现漏洞源于一个已弃用智能合约中潜藏多年的错误。
根据协议官方声明,攻击者并未干扰其活跃代码库与标准SDK接口,而是调用了可追溯至2023年11月的旧版V2合约包。该合约虽已数月未使用,但仍留存于链上。
此次攻击的精准性引起生态广泛关注,表明攻击者要么进行了深度逆向工程,要么对合约架构极为熟悉。尤为值得注意的是,由于生态已迁移至新版合约,该漏洞在近17个月内未被察觉。扇贝通过推特确认事件,并表示已立即实施控制措施,目前用户资产安全。
漏洞机制解析
漏洞存在于弃用合约的奖励计算逻辑中。该系统采用称为“池指数”的持续增值参数,用以表征奖励池随时间累积的总奖励。
正常运作时,每个用户账户在质押时会记录当前指数值。奖励依据当前指数与存储值的差额计算,确保用户不会获得质押开始前的奖励。
但在旧版V2合约包中,新创建的池账户从未被初始化,其记录指数值始终为零。这一缺陷形成了重大漏洞。
漏洞后果迅速显现:池指数在约20个月内已升至近11.9亿。攻击者通过质押13.6万sSUI,竟获取了162万亿的虚增奖励点数。
更严重的是,奖励池采用1:1兑换比例,每个奖励点可直接转换为SUI代币。这使得攻击者能够将人为通胀产生的点数无缝兑换为实际资产。
攻击导致当时存有约15万SUI的奖励池被清空。尽管攻击者理论应得奖励远超池内余额,但仅实际流动性被提取。
系统性挑战
此事件揭示了Sui生态已部署合约包存在的系统性挑战:合约一旦部署便不可更改。智能合约上链后无法删除或修改,所有历史版本将永久可调用。
虽然扇贝通过SDK将用户导向更新更安全的合约包,但旧版V2合约仍处于可访问状态。由于池与奖励池对象共享且无版本限制,攻击者得以完全绕过更新后的逻辑。
此类被重新归类为“陈旧合约包”的风险,暴露了许多DeFi系统的重要盲点。遗留合约可能成为永久攻击载体,因为共享对象中并未内置明确的版本检查机制。
行业攻击模式演变
近期多起攻击事件显示,攻击源头并非核心协议逻辑,而是外围或易被忽视的环节。例如KelpDAO的RPC基础设施漏洞、莱特币隐私层缺陷以及Aethir适配器系统的访问控制错误等案例,均表明攻击者正转变策略。
黑客减少了对经严格审计的核心合约的关注,转而更多攻击生态边缘监控薄弱的环节。这要求开发者与审计方进行范式转变:仅保障新部署合约已不足够,所有历史合约、集成点与基础设施组件都应被视为活跃威胁面。
应急响应与补偿
扇贝采取了迅速果断的应对措施:受攻击合约立即被冻结,确保仅单一奖励池受影响。团队确认核心合约安全无损,用户存款未受侵害,其余资金池保持完好,协议主要功能在未受影响部分解冻后已恢复正常运行。
值得关注的是,扇贝承诺对本次攻击造成的损失承担百分之百补偿。此举体现了修复意外安全漏洞的责任担当,旨在重建用户信任。目前存提款业务已恢复,表明系统稳定性得以重建。
行业启示
扇贝事件为整个DeFi生态提供了关键警示:在不可变的智能合约环境中,安全绝非一劳永逸之事。任何已部署的合约版本都是运行系统的组成部分,即使非活跃代码也可能在数月或数年后成为单一故障点——特别是当防护措施易被绕过时。
未来生态需要采用更严格的版本控制实践,对遗留合约实施持续监控,并扩大审计范围以覆盖所有历史部署。正如本次攻击所揭示的,攻击者已做好准备深入追溯协议历史,挖掘可乘之机。
最终,去中心化金融的持久性,将取决于协议能否适应这种持续变化的威胁格局。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注