Sui 上的 Scallop Protocol 遭遇闪电贷攻击，title42K 通过预言机操纵被掏空

4 月 26 日，Scallop Protocol 是 Sui 区块链上的一个借贷平台，遭遇了一起针对其 sSUI 奖励池所关联的已弃用侧合约的闪电贷漏洞攻击，造成约 $142,000 (150,000 SUI) 的损失。该攻击利用预言机价格喂价操纵来人为压低 SUI/USDC 的兑换汇率，并以失真的价格借入资产，攻击者在同一笔交易内偿还闪电贷，并将差额据为己有。

核心问题源于 2023 年 11 月部署的一个已弃用 V2 合约，该合约在链上仍可被调用。在该过时合约中，名为 “last_index” 的关键变量在新账户创建时从未被初始化。此缺陷使攻击者能够在错误地作为自资金池成立以来就一直在质押的情形下领取奖励。随着奖励索引在 20 个月内增长至 1.19 billion，攻击者质押 136,000 sSUI，但却获得了 162 trillion 点数的信用。由于奖励池以 1:1 的兑换比率运行，这些点数将直接转换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI，所有资金被洗劫一空。链上数据表明，被盗资金很快通过一个混币服务转移，增加了追回难度。

Scallop 团队通过临时暂停运营来应对，然后解冻核心合约并恢复所有运营。该协议确认此次漏洞被隔离在已弃用的奖励合约中，不影响核心协议或用户存款，所有资金仍然安全。攻击者随后联系团队，提出在换取白帽赏金的情况下归还被盗资金的 80%，而该事件目前正在调查中。团队将审查该漏洞为何未在此前由包括 OtherSec 和 MoveBit 在内的公司进行的审计中被发现。

在此次漏洞攻击后，SUI 价格依然保持韧性，攻击发生后的 24 小时内上涨约 2%，并以 0.94 美元交易，日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的趋势：主要的 DeFi 漏洞攻击更多瞄准已弃用的合约和基础设施层，而非核心协议逻辑；在当月的 12 起重大事件中，累计损失超过 $600 million。