Sui Network 去中心化借贷协议 Scallop 于 4 月 26 日（周日）通过 X 平台发布官方公告，确认遭受漏洞攻击，攻击者从与 sSUI spool 关联的废弃奖励合约中提取约 150,000 枚 SUI。根据官方声明，核心资金池及用户存款未受影响，协议已恢复存取款，确认将以公司资金全额赔偿所有损失。

事件时间线与 Scallop 官方回应

根据 Scallop 官方 X 平台公告（4 月 26 日 12:50 UTC），攻击目标为 sSUI spool 的附属奖励合约，该合约为协议针对 SUI 存款者的激励层，非核心借贷逻辑。Scallop 团队在事件发生后数分钟内冻结受影响合约，核心合约冻结于两小时内解除，提款及充值于 14:42 UTC 恢复。

Scallop 官方声明表示：“Scallop 将全额弥补 100% 的损失。”

漏洞技术分析：2023 年废弃套件的未初始化计数器

（来源：Vadim）

根据链上独立分析，攻击入口点为 Scallop 于 2023 年 11 月部署的废弃 V2 spool 套件，距本次攻击发生时间逾 17 个月。在 Sui Network 的技术架构下，已部署的套件不可更改；除非明确设置版本控制，否则旧版本仍可被调用。

攻击者识别出套件中未初始化的 last_index 计数器，此计数器用于追踪质押者的累积奖励。攻击者质押约 136,000 枚 sSUI，系统将此仓位视为自 2023 年 8 月 spool 启动以来一直存在的仓位。经过约 20 个月的指数累积，spool 指数成长至约 11.9 亿，使攻击者获取约 162 兆奖励积分，并以 1:1 比例兑换为 150,000 枚 SUI。

链上交易记录可查询哈希值：6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL

Sui DeFi 近期漏洞事件记录

根据公开报道，2026 年 4 月初，Sui Network 上的 Volo Protocol 发生类似攻击，攻击目标同为附属合约而非核心协议逻辑，损失约 350 万美元。此外，攻击发生一週前，以太坊网络发生一起桥接攻击事件，约 2.92 亿美元的无担保流动性再质押代币遭窃。

Sui Foundation 与 Mysten Labs 截至本报道发布时，均未就 Scallop 事件发表公开声明。根据 Scallop 官方说明，协议计划对所有现存旧版套件进行全面审计，审计时程待定。

常见问题

此次漏洞攻击的发生时间与损失规模为何？

根据 Scallop 官方 X 平台公告，攻击发生于 2026 年 4 月 26 日（周日）12:50 UTC，攻击者从废弃的 sSUI spool 奖励合约中提取约 150,000 枚 SUI。核心借贷资金池及用户在其他市场的存款均未受影响。

Scallop 就此次攻击作出哪些官方承诺？

根据 Scallop 官方声明，协议在攻击后数分钟内冻结受影响合约，并于 14:42 UTC 恢复全部操作功能（距公告发布约两小时）。Scallop 确认以公司资金全额赔偿所有损失，用户收益不受影响，并计划对所有现存旧版套件进行全面审计。

此次漏洞的根本技术原因为何，与 Sui Network 的技术架构有何关联？

根据链上独立分析，漏洞源于 2023 年 11 月部署的废弃 V2 spool 套件中一个未初始化的 last_index 计数器。在 Sui Network 上，已部署的套件不可变更，除非明确设置版本控制，否则旧版本仍可被调用，使攻击者得以利用逾 17 个月前的废弃代码提取 150,000 枚 SUI。

免责声明：本页面信息可能来自第三方，不代表 Gate 的观点或意见。页面显示的内容仅供参考，不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证，对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为，价格波动剧烈，您可能损失全部投资本金。请充分了解相关风险，并根据自身财务状况和风险承受能力谨慎决策。具体内容详见声明。

Curve 创始人 Egorov 提出基于市场的 DeFi 借贷坏账回收模型

项目进展代币活动

Gate 新闻消息，4月27日——Curve 创始人 Michael Egorov 提出了一种基于市场的机制，用于在 DeFi 借贷协议中回收坏账，并将其定位为传统纾困模式的替代方案。该提案的核心在于将陷于困境的头寸转换为可交易的投资产品，从 Curve 的 CRV-long LlamaLend 市场作为试点案例开始，s

GateNews35 分钟前

B.AI 升级基础设施，推出重磅技能功能

项目进展合作与生态 AI Agent AI 行业动态

Gate News 消息，4月27日——B.AI 本周宣布多项产品与生态进展。本周，BAIclaw 落地页获得了全面的视觉与交互改版，并将网站多语言支持扩展至 10 种语言，进一步增强其全球可用性。在基础设施方面

GateNews3小时前

JUST 发布 2026 年第一季度业绩：$60M 在代币回购中，JustLend DAO TVL 达到 69.1 亿美元

项目进展代币活动

Gate News 消息，4月27日——JUST 已发布其 2026 年第一季度财务业绩，显示关键指标强劲增长。该项目通过累计回购价值 6003 万美元的回购，销毁了 13.56 亿个 JST 代币 (占总供应量的 13.70%)，从而带来显著的通缩压力。 JustLend DAO 的 t

GateNews3小时前

AI 代理推动加密支付需求，x402 处理 165M 笔交易

项目进展合作与生态 AI Agent AI 代币

Gate News 消息，4 月 27 日——大型 CEX 的高管 Jesse Pollak 表示，自治 AI 代理正在为加密支付创造一个新的“需求中心”，从而需要软件原生的支付基础设施。4 月 20 日，据宣布，x402 生态已处理超过 165

GateNews4小时前

开发者提议将比特币硬分叉至 eCash，1:1 分发引发争议：关于中本聪地址分配

比特币新闻项目进展代币活动

Gate 新闻消息，4 月 27 日——据 CoinDesk 报道，开发者 Paul Sztorc 提出了一个定于 2026 年 8 月、区块高度 964,000 的比特币硬分叉，以创建一条名为 eCash 的新区块链。该分叉将以 1:1 的比例向持有 BTC 的用户分发 eCash，并在新网络上引入 Drivechains

GateNews5小时前

西联汇款 Q1 财报会议确认：USDPT 稳定币 5 月上线

项目进展代币活动

根据西联汇款（Western Union）于 4 月 24 日第一季财报电话会议的内容，西联汇款总裁兼执行长德文·麦克格拉纳汉（Devin McGranahan）确认，公司的 USDPT 稳定币目前已进入最后准备阶段，预计于 5 月正式上线。

Market Whisper6小时前

0/400

暂无评论