• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Scallop Protocol因预言机操纵结合闪电贷攻击损失14.2万美元

2026-04-27 06:21:38
收藏

扇贝协议遭遇闪电贷攻击

周日,扇贝协议遭受一起闪电贷漏洞攻击。据报道,攻击者通过一次高度针对性的预言机操控攻击,盗取了约14.2万美元(15万枚SUI)。此次事件并未触及协议核心合约,却暴露了更深层的设计缺陷。

据悉,攻击者利用了一个与扇贝协议sSUI奖励池关联的已弃用侧边合约。项目团队强调核心协议完好无损,所有用户存款均安全。损失被完全控制在隔离部分内。

旧代码还是预言机缺陷?

分析指出,核心问题在于攻击者操纵了扇贝协议的自定义预言机价格源。这使得攻击者能够人为压低SUI/USDC汇率,并以扭曲价格借入资产,随后在同一交易中偿还闪电贷。最终,攻击者套利离场。

此次攻击遵循典型的DeFi攻击模式,但执行过程异常精准。攻击者未针对活跃代码或标准SDK路径,而是与2023年11月部署的旧版V2合约交互。该版本虽已弃用,但在链上仍可调用。Sui网络所有已部署合约版本均不可变且可访问,这使得过时的合约包成为隐藏的攻击面。

漏洞事件后SUI价格未受冲击,过去24小时上涨近2%。截至发稿时,SUI交易价格为0.94美元,24小时交易量约1.87亿美元。

专家指出该缺陷本身隐蔽但严重:在弃用合约中,创建新账户时关键变量“last_index”从未初始化,使得攻击者能够冒充自资金池启动时即参与质押的状态领取奖励。

随着奖励指数随时间增长,攻击者通过单笔交易将全部奖励池据为己有。据透露,资金池指数在20个月内增长至11.9亿。攻击者质押13.6万枚sSUI后获得162万亿积分。由于奖励池采用1:1兑换比率,162万亿积分直接转换为价值16.2万枚SUI的奖励。该池实际仅存15万枚SUI,最终被全部耗尽。

链上数据显示,被盗资金已通过混币服务快速转移,这使得资金追回更为困难。

攻击后扇贝协议恢复运行

扇贝团队通过暂停运营进行应对,随后解冻核心合约并恢复所有操作。官方声明强调,问题与核心协议无关,仅局限于已弃用的奖励合约。用户存款未受影响,资金保持安全,存取款功能现已正常运作。

据报道,攻击者已联系团队,提议返还80%资金以换取白帽赏金。事件正在调查中,团队将核查该漏洞如何通过多家审计公司的先前审计。

有分析指出,当月多数重大安全事件并非源于核心协议逻辑,而是来自仍可访问但被忽视的旧合约、适配器或基础设施层。截至四月中旬,累计损失已超7.5亿美元,当月12起重大事件造成的损失超过6亿美元。

当月约95%的损失集中在个别协议。其中某攻击导致另一协议产生1.77亿美元坏账。与此同时,Arbitrum安全理事会成功冻结了部分被盗资产。

在DeFi领域,当前主流代币仍保持领先地位。其价格过去30日上涨10%,同期另一主流代币价格维持在9.4美元区间。

在传统银行储蓄与加密货币高风险投资之间,存在折中的参与路径。相关免费教学视频可供入门参考。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
30.00% 70.00%
利好
利空

热门币种

更多
更多新闻
自选
我的自选
查看全部
市值 价格 24h%
SVG Image
新闻
搜索相关最新新闻
社区
搜索相关最新动态
币种