KuCoin
Log masuk
language_currency
Halaman Utama
Blog
Market Insight
Perincian
img

Kerentanan DeFi yang Kerap Berlaku: Apa Isyarat yang Dikeluarkan oleh Peristiwa Scallop?

2026/05/05 09:50:23
Khusus
Platform DeFi menjanjikan kewangan terbuka tanpa perantara, namun serangan berulang terus menguji keyakinan pengguna. Insiden Scallop pada 26 April 2026 menonjol bukan kerana ukurannya, tetapi bagaimana ia mengungkap risiko harian yang sering diabaikan oleh pembangun dan pengguna. Serangan flash loan menguras kira-kira 150,000 SUI, bernilai sekitar $142,000 pada masa itu, daripada kontrak ganjaran sisi yang berkaitan dengan spool sSUI protokol di blok rantai Sui. Cebisan pinjaman utama tidak disentuh, dan pasukan Scallop dengan cepat membekukan kontrak yang terjejas, meneruskan operasi, dan menjanjikan untuk menanggung kerugian penuh daripada sumber sendiri.
 
Peristiwa ini menunjukkan bagaimana protokol yang sudah mapan di rantai yang lebih baru menghadapi kejutan daripada kod yang bertahan lama selepas penggunaannya dimaksudkan berakhir. Ia menjadi isyarat yang jelas bahawa pertumbuhan pantas DeFi melampaui usaha pembersihan, meninggalkan pintu tersembunyi terbuka kepada penyerang yang menggabungkan kelemahan lama dengan taktik moden seperti pinjaman kilat dan manipulasi oracle.
 

Bagaimana Serangan Scallop Berlaku Secara Masa Nyata

Pada 26 April 2026, Scallop memuatkan notis keselamatan pada pukul 12:50 UTC yang menerangkan kebocoran tersebut. Seorang penyerang menargetkan kontrak ganjaran V2 yang telah ditinggalkan, yang asalnya dilaksanakan pada November 2023 untuk kolam ganjaran sSUI. Kontrak ini telah dibiarkan tidak digunakan selama sekitar 17 bulan. Kelemahan tersebut berpusat pada pemboleh ubah “last_index” yang tidak diinisialisasi dalam akaun spool baharu, yang membolehkan penyerang mengklaim ganjaran retroaktif dalam jumlah besar yang setara dengan akumulasi selama 20 bulan.
 
Laporan melaporkan serangan tersebut sebagai pinjaman kilat yang dikombinasikan dengan manipulasi harga oracle, membolehkan penyerang meminjam aset pada kadar yang terdistorsi, menarik nilai, dan membayar balik dalam transaksi yang sama. Pasukan mengasingkan isu tersebut, membekukan kontrak, dan mengesahkan bahawa deposit pengguna utama dan fungsi pasaran wang utama tetap selamat. Operasi berterusan segera selepas itu, dengan protokol menekankan bahawa kontrak sampingan tidak memberi kesan terhadap aktiviti peminjaman utama. Tanggapan pantas ini mencegah penyebaran yang lebih luas, namun insiden tersebut masih menarik perhatian di kalangan komuniti kripto yang memantau kerugian harian.
 

Kekurangan Teknikal yang Tersembunyi di Mata Telaah Selama 17 Bulan

Kelemahan itu berada dalam mekanisme ganjaran warisan yang tidak lagi menggerakkan insentif pengguna aktif. Pembangun telah berpindah kepada versi yang lebih baru, tetapi pakej lama masih boleh dipanggil di blok rantai Sui. Penyerang memanfaatkan ini dengan mencipta akaun spool di mana indeks yang tidak diinisialisasi berada dalam keadaan yang secara dramatik meningkatkan pengiraan ganjaran. Setelah mata dikumpulkan, penyerang menukarkannya kepada SUI tokens nyata daripada kolam. Analis keselamatan mencatat bahawa reka bentuk kontrak mengandaikan inisialisasi yang betul, satu kesilapan biasa apabila kod ditinggalkan tanpa pembuangan penuh atau kawalan akses.
 
Kes ini menunjukkan bagaimana blok rantai mempertahankan setiap kontrak yang dilancarkan selamanya, mengubah modul yang dilupakan menjadi potensi tanggungjawab. Pengekangan pantas oleh Scallop menghentikan penarikan lanjut, tetapi peristiwa ini menimbulkan soalan mengenai bagaimana pasukan mengendalikan pensiunan kod di rangkaian berkelajuan tinggi seperti Sui, di mana kelajuan transaksi mendorong kemas kini kerap tanpa selalu membersihkan sejarah.
 

Mengapa Kontrak yang Dihentikan Terus Menyebabkan Masalah dalam DeFi

Banyak protokol melancarkan ciri-ciri, menguji mereka, kemudian berpindah fokus kepada peningkatan atau integrasi baru. Kontrak lama kekal di atas rantai kerana menghapuskan sepenuhnya boleh merosakkan data sejarah atau memerlukan migrasi yang kompleks. Dalam kes Scallop, spool ganjaran V2 tidak mengalami aktiviti bermakna selama lebih daripada setahun, namun ia masih mempunyai cukup SUI untuk menjadikan eksploitasi itu berpatutan. Pola serupa muncul di seluruh ekosistem: pasukan memberi keutamaan kepada pertumbuhan dan TVL baru berbanding audit menyeluruh terhadap bahagian warisan.
 
Hasilnya meninggalkan vektor bagi penyerang yang memindai kod yang tidak diselenggarakan menggunakan alat automatik. Insiden Scallop menambah pola di mana kerugian kecil dan terpisah masih menandakan jurang penyelenggaraan yang lebih luas. Pengguna yang hanya berinteraksi dengan antaramuka semasa mungkin tidak pernah sedar bahawa kod yang tidak aktif boleh secara tidak langsung mempengaruhi kepercayaan terhadap keseluruhan platform jika tidak ditangani secara proaktif.
 

Pinjaman Kilat Bertemu Trik Oracle dalam Eksploit Moden

Pinjaman kilat membolehkan pengguna meminjam jumlah besar tanpa jaminan selama pembayaran berlaku dalam satu transaksi atomik. Penyerang menggabungkannya dengan manipulasi oracle harga untuk menciptakan keadaan pasaran buatan. Dalam peristiwa Scallop, penyerang kemungkinan mengganggu feed yang berkaitan dengan kontrak ganjaran, membolehkan peminjaman atau tuntutan ganjaran yang besar sebelum menyelesaikan pinjaman. Taktik ini telah menjadi panduan standard kerana tidak memerlukan modal awal dan memanfaatkan ketidakkonsistenan sementara dalam sumber data.
 
Di Sui, dengan model berpusat pada objek dan finaliti pantas, serangan seperti ini boleh dilaksanakan dengan ketepatan. Kes Scallop menunjukkan bagaimana komponen bukan inti sekalipun menjadi sasaran apabila orakel memberi input kepada logik ganjaran. Protokol yang menggunakan beberapa orakel atau purata berbobot masa bertujuan untuk mengurangkan risiko ini, tetapi kontrak warisan sering kali tidak memiliki pengawal keselamatan tersebut, mencipta titik masuk yang mudah untuk pelaku canggih yang memantau aktiviti di atas rantai.
 

Tanggapan Scallop dan Keputusan untuk Menutup Kerugian Sepenuhnya

Scallop bertindak pantas dengan membekukan kontrak yang rentan dan mengeluarkan kemas kini telus melalui X. Pasukan menyatakan bahawa dana pengguna dalam kolam aktif tidak menghadapi sebarang risiko dan berkomitmen untuk mengganti keseluruhan 150.000 SUI daripada sumber protokol. Pendekatan ini melindungi penyimpan dan membantu mengekalkan keyakinan dalam ruang pinjaman yang kompetitif di Sui. Dengan mengasingkan isu tersebut kepada kontrak sampingan, Scallop mengelakkan sebarang jeda dalam operasi utama, membolehkan pinjaman dan peminjaman berterusan.
 
Langkah ini mencerminkan bagaimana beberapa protokol memilih jaminan sendiri daripada membiarkan pengguna menanggung kerugian, terutama apabila pelanggaran berasal dari kod bukan inti. Pemerhati mencatat bahawa tindakan ini membatasi kerosakan reputasi, walaupun ia masih menonjolkan kos sebenar yang ditanggung oleh protokol apabila ralat muncul. Pemulihan penuh meyakinkan peserta runcit yang mungkin akan menarik dana semasa ketidakpastian, serta mempertahankan likuiditi dalam ekosistem yang lebih luas.
 

Larian Brutal DeFi pada April 2026

April 2026 telah mencatat kerugian besar di seluruh sektor, dengan jumlah melebihi $600 juta semata-mata pada separuh pertama bulan ini daripada beberapa peristiwa. Kes-kes terkenal termasuk eksploit jambatan Kelp DAO yang menguras kira-kira $293 juta dalam rsETH dan insiden Drift Protocol yang melibatkan sekitar $285 juta. Pencurian yang lebih kecil, seperti kerugian $3.5 juta Volo Protocol pada 22 April, cepat bertambah. Kerugian $142,000 Scallop masuk ke dalam gelombang ini sebagai salah satu contoh yang lebih terkawal, namun ia menyumbang kepada jumlah bulanan yang menjadikan April menonjol sebagai bulan yang sangat mencabar.
 
Data daripada syarikat pelacak menunjukkan lonjakan dalam frekuensi dan pelbagai vektor serangan, dari pemalsuan mesej jambatan hingga kejuruteraan sosial dan kelemahan kontrak pintar. Konsentrasi insiden awal tahun mendorong angka sepanjang tahun melebihi kuartal sebelumnya, menekan seluruh industri untuk mengkaji mengapa kerugian terus bertambah walaupun kematangan dalam beberapa protokol semakin meningkat.
 

Bagaimana Ekosistem Sui yang Berkembang Menghadapi Perhatian Baru

Sui telah menempatkan dirinya sebagai Layer 1 berprestasi tinggi dengan arsitektur berpusat pada objek yang menyokong pelaksanaan selari dan penyelesaian pantas. Scallop disenaraikan sebagai salah satu protokol pasaran wang terkemulanya, menarik pengguna dengan peluang pinjaman dan hasil yang cekap. Eksploitasi, walaupun terhad, membawa perhatian baharu kepada amalan keselamatan dalam ekosistem. Rantaian baru sering melihat pelancaran protokol pantas dan pertumbuhan TVL, tetapi laju ini boleh mengabaikan pengurusan warisan yang teliti.
 
Projek-projek berbasis Sui mendapat manfaat daripada kekuatan teknikal rangkaian, namun kes Scallop menunjukkan bahawa kelebihan peringkat rantai tidak secara automatik melindungi kontrak pintar individu daripada kesilapan reka bentuk. Perbincangan komuniti berfokus pada sama ada kitaran pembangunan yang lebih pantas pada platform inovatif secara tidak sengaja meningkatkan eksposur terhadap laluan kod yang dilupakan. Insiden ini mendorong pasukan-pasukan di seluruh Sui untuk meninjau semula kebersihan penghantaran dan mendorong dokumentasi yang lebih baik terhadap modul-modul yang ditinggalkan.
 

Sisi Insani Sebuah Protokol yang Diserang

Di sebalik setiap eksploitasi terdapat manusia nyata yang masa, modal, dan kepercayaan mereka bergantung pada keputusan itu. Pengguna Scallop yang telah meng-stake dalam kolam sSUI atau memperoleh ganjaran menghadapi ketidakpastian singkat pada 26 April sebelum jaminan daripada pasukan. Pembangun yang membina dan kemudian menghentikan kontrak V2 mungkin tidak pernah menyangka ia akan menjadi sasaran selepas 17 bulan tidak aktif. Penyelidik keselamatan dan analis atas rantai yang mengesan aliran transaksi menghabiskan berjam-jam melacak pemboleh ubah yang tidak diinisialisasi dan mekanisme inflasi ganjaran.
 
Untuk peserta yang lebih kecil dalam komunitas Sui, acara ini terasa peribadi kerana ramai memperlakukan platform DeFi sebagai alat harian untuk hasil, bukan eksperimen berisiko tinggi. Komitmen protokol terhadap liputan penuh meringankan tekanan segera bagi mereka yang terkesan secara tidak langsung melalui sentimen pasaran. Cerita-cerita seperti ini mengingatkan kita bahawa kod berjalan berdasarkan keputusan manusia, tentang apa yang perlu dipertahankan, apa yang perlu diberhentikan, dan sejauh mana untuk berkomunikasi secara telus apabila perkara-perkara salah.
 

Pola yang Berulang Secara Berterusan di Atas Protokol Peminjaman

Platform pinjaman berkongsi arsitektur umum yang melibatkan jaminan, peminjaman, orakel, dan lapisan insentif. Spool ganjaran Scallop meniru ciri-ciri dalam banyak pasaran wang di mana mata atau token memberi ganjaran terhadap penyertaan. Apabila pasukan menghentikan sistem insentif tanpa memutuskan sepenuhnya hubungan dengan kolam aset, risiko masih berterusan. Serangan pinjaman kilat sebelum ini menargetkan pengaturan serupa kerana ia memperbesar perbezaan harga kecil menjadi keuntungan besar. Masa diam selama 17 bulan dalam kontrak Scallop meniru kes-kes di mana protokol mengemaskini antaramuka tetapi meninggalkan logik belakang layar boleh diakses.
 
Di seluruh ekosistem, auditor kadang-kadang memberi perhatian besar kepada kod aktif sambil memberi sedikit perhatian kepada pakej yang diarkibkan. Kejadian ini menambahkan data konkrit kepada perbincangan mengenai pengurusan kitar hidup kod: proses penarikan diri secara berkala, pencabulan akses, atau bahkan penanda di atas rantai yang menandakan penghentian boleh mengurangkan serangan mengejut. Kejadian ini selari dengan pemerhatian yang lebih luas bahawa mekanisme insentif, walaupun sangat baik untuk keterlibatan pengguna, sering memperkenalkan pengiraan kompleks yang rentan terhadap kes tepi jika tidak diuji tekanan sepanjang masa.
 

Apa yang Dikatakan Nombor Mengenai Trend Kerugian DeFi pada 2026

Perkhidmatan pengesanan melaporkan bahawa kerugian DeFi pada awal 2026 sudah mencapai ratusan juta, dengan bulan April mempercepatkan kadar secara dramatik. Satu analisis meletakkan angka April di atas $600 juta dalam tempoh sekitar 18 hari akibat sekitar lapan belas insiden. Jumlah sepanjang tahun hingga kini telah meningkat melebihi $750 juta dalam beberapa anggaran, didorong oleh campuran serangan jambatan, isu oracle, dan kompromi operasi. Peristiwa kecil seperti Scallop masih penting kerana ia bertambah dan mengikis keyakinan sektor secara keseluruhan.
 
Saiz kerugian purata berbeza, tetapi serangan yang terhad sekalipun menandakan bahawa kos kegagalan keselamatan ditanggung oleh perbendaharaan protokol atau kolam insurans. Angka-angka ini berasal dari data pada rantai dan laporan insiden yang dikumpulkan oleh syarikat-syarikat yang memantau eksploit secara masa nyata. Konsentrasi pada bulan April menekankan bagaimana kelompok serangan boleh muncul apabila keadaan pasaran atau peningkatan alat menjadikan vektor tertentu lebih menguntungkan. Kes Scallop, yang mewakili sebahagian kecil daripada jumlah bulanan, masih menyumbang kepada naratif bahawa kerentanan terus wujud walaupun jumlah nilai terkunci meningkat dalam ekosistem yang menjanjikan.
 

Pelajaran daripada Cara Pasukan Menangani Pemulihan Selepas Eksploit

Pengasingan pantas dan komunikasi yang telus telah menjadi penanda utama respons yang berkesan. Scallop membekukan semula kontrak utama selepas mengesahkan bahawa isu tersebut kekal terkawal, membolehkan aktiviti normal berterusan tanpa masa henti yang panjang. Menutup kerugian secara dalaman mengelakkan pengguna daripada terpaksa menanggung kerugian, yang boleh memicu aliran keluar di pasaran yang kompetitif. Banyak protokol kini mempertahankan bajet keselamatan khas atau bekerjasama dengan penyedia insurans untuk menangani peristiwa seperti ini.
 
Pemberitahuan awam dan kemas kini susulan daripada pasukan Scallop membantu menghadkan spekulasi dan kepanikan. Sebaliknya, respons yang lebih perlahan atau kurang jelas dalam insiden sebelum ini telah menyebabkan penurunan TVL yang berpanjangan. Pendekatan ini menunjukkan nilai memiliki rancangan respons insiden yang sedia ada, termasuk mekanisme jeda kontrak dan kepemilikan yang jelas terhadap kolam sisi. Bagi pengguna, memantau bagaimana pasukan bertindak dalam jam-jam selepas pengumuman memberikan wawasan tentang kedewasaan operasi di luar klaim pemasaran.
 

Isyarat Lebih Luas untuk Pengguna yang Meneroka Peluang Hasil

Acara Scallop mendorong pemeriksaan yang lebih mendalam mengenai asal pulangan dan kod yang menyokongnya. Peserta sering memeriksa APY dan TVL semasa, tetapi jarang menyelidiki sejarah kontrak atau status penyusutan. Pada platform seperti Scallop, ganjaran yang berkaitan dengan sSUI pernah dikaitkan dengan spool yang rentan, jadi memahami evolusi insentif adalah penting. Pengguna mendapat manfaat dengan memilih protokol yang mendokumenkan perubahan kod dengan jelas dan menarik balik komponen lama dengan bersih.
 
Insiden ini juga menonjolkan peranan ciri-ciri khusus rantai: model Sui membolehkan interaksi yang cekap tetapi masih memerlukan kebersihan kontrak pintar yang teliti. Membuat pelbagai pelaburan di pelbagai platform dan memantau saluran rasmi semasa insiden boleh membantu mengurangkan risiko. Walaupun tiada platform yang menghilangkan risiko, kesedaran terhadap corak-corak biasa, seperti logik ganjaran lama atau ketergantungan pinjaman kilat, membantu pengguna membuat pilihan yang lebih bijak dalam ruang di mana inovasi bergerak dengan pantas.
 

Menghadap Ke Depan Mengenai Amalan Keselamatan dalam DeFi yang Berkembang

Seiring protokol menjadi lebih matang, penekanan berpindah kepada tata kelola kod yang lebih baik, termasuk penarikan automatik kontrak yang tidak digunakan dan pemantauan yang diperbaiki terhadap modul yang tidak aktif. Pasukan mengkaji pengesahan formal atau program bounty ralat berterusan yang secara khusus menargetkan kod warisan. Kes Scallop, walaupun berskala kecil, berfungsi sebagai pengingat praktikal bahawa pertumbuhan di rantai baharu tidak menghapuskan keperluan untuk penjagaan yang disiplin.
 
Pemerintahan komuniti kadang-kadang mengundi untuk peningkatan keselamatan, memberikan suara kepada pengguna dalam menentukan keutamaan audit. Reka bentuk masa depan mungkin menggabungkan penguncian masa atau tanda penghentian eksplisit yang mencegah panggilan kepada logik lama. Peristiwa ini menambah pengetahuan kolektif mengenai permukaan serangan dunia nyata, membantu pembangun di pelbagai projek meramalkan isu-isu serupa. Pengguna dan pembina sama-sama mendapat manfaat dengan memperlakukan setiap kontrak yang dilancarkan sebagai mungkin masih aktif sehingga dibuktikan sebaliknya melalui pembersihan yang ketat.
 

Soalan Lazim

Apa yang sebenarnya berlaku dalam serangan terhadap Scallop pada 26 April 2026?
Seorang penyerang menggunakan pinjaman kilat dan memanipulasi elemen-elemen dalam kontrak ganjaran V2 yang telah ditinggalkan yang terkait dengan spool sSUI, menguras sekitar 150.000 SUI yang bernilai kira-kira $142.000. Protokol pinjaman utama tidak terjejas, dan pasukan membekukan kontrak dengan cepat sambil menjanjikan kompensasi penuh.
 
Adakah pengguna kehilangan sebarang wang daripada deposit utama mereka di Scallop?
Tidak. Eksploitasi tersebut menargetkan hanya kontrak ganjaran sampingan yang tidak digunakan selama 17 bulan. Operasi pasaran wang utama, deposit pengguna, dan kolam aktif berterusan tanpa gangguan, dan protokol berkomitmen untuk menutupi kerugian sepenuhnya daripada sumbernya.
 
Mengapa kontrak yang telah ditinggalkan masih menimbulkan risiko bertahun-tahun selepas pelancaran?
Blok rantai menyimpan setiap kontrak pintar secara kekal boleh diakses. Apabila pasukan berhenti menggunakan versi lama tetapi tidak menghadkan atau menghapusnya sepenuhnya, penyerang masih boleh berinteraksi jika terdapat kelemahan seperti pemboleh ubah yang tidak diinisialisasi. Kes Scallop menunjukkan bagaimana 17 bulan ketiadaan aktiviti tidak menghilangkan nilai kolam hadiah sebagai sasaran.
 
Seberapa biasakah serangan pinjaman kilat dalam protokol peminjaman DeFi?
Mereka muncul secara berkala kerana pinjaman kilat tidak memerlukan jaminan dan diselesaikan secara serta-merta. Menggabungkannya dengan manipulasi oracle membolehkan penyerang mencipta distorsi sementara untuk mengekstrak nilai. Insiden Scallop mengikuti corak ini tetapi terhad kepada komponen bukan utama.
 
Apakah langkah-langkah yang boleh diambil oleh pengguna DeFi untuk mengurangkan eksposur kepada insiden serupa?
Semak pengumuman rasmi untuk sebarang isu yang dilaporkan, tinjau sejarah kemas kini kod protokol, dan fahami asal usul hasil. Pilih platform dengan komunikasi telus dan rekod respons yang kuat. Mencadangkan pelaburan secara pelbagai di rantai dan protokol yang berbeza juga membantu menguruskan risiko keseluruhan.
 
Adakah acara Scallop menunjukkan masalah yang lebih besar terhadap ekosistem Sui?
Ia menekankan keperluan untuk pengurusan teliti terhadap kod warisan walaupun pada rantai berprestasi tinggi. Sui terus berkembang dengan asas teknikal yang kuat, tetapi protokol individu perlu mengekalkan kebersihan terhadap komponen yang telah ditinggalkan. Sifat terhad kehilangan dan pemulihan pantas menunjukkan bahawa ekosistem boleh menanggapi dengan berkesan apabila isu timbul.
 
 

Penafian

Kandungan ini hanya untuk tujuan maklumat dan tidak merupakan nasihat pelaburan. Pelaburan mata wang kripto membawa risiko. Sila lakukan penyelidikan anda sendiri (DYOR).

Penafian: Halaman ini telah diterjemahkan dengan menggunakan teknologi AI (dikuasakan oleh GPT) untuk keselesaan anda. Untuk mendapatkan maklumat yang paling tepat, rujuk kepada versi bahasa Inggeris asal.