KuCoin
登入
language_currency
主頁
Blog 列表
Market Insight
詳情
img

常見的 DeFi 漏洞:Scallop 事件釋放了什麼訊號?

2026/05/05 09:50:23
自訂
DeFi 平台承諾提供無需中介的開放金融,但反覆出現的攻擊持續考驗用戶信心。2026 年 4 月 26 日的 Scallop 事件之所以突出,並非因其規模,而在於它揭示了開發者與用戶常忽略的日常風險。一項 閃電貸款 攻擊從與 Sui 區塊鏈上 sSUI 卷軸相關的額外獎勵合約中竊取了約 150,000 SUI,當時價值約 142,000 美元。核心借貸池未受影響,Scallop 團隊迅速凍結了受影響的合約,恢復運營,並承諾動用自身資源賠償全部損失。
 
此事件顯示,即使在較新的鏈上,久經考驗的協議仍可能因代碼在預期用途結束後長期殘留而遭遇意外。這清楚地表明,去中心化金融的快速發展已超越了清理工作的進度,為攻擊者留下了隱藏的門戶,使其能夠結合舊有漏洞與現代手法,如閃電貸款和預言機操縱。
 

_scallop 攻擊的實時過程

2026年4月26日,Scallop 於 12:50 UTC 發布安全通知,詳述此次入侵事件。攻擊者針對一個於 2023 年 11 月部署、用於 sSUI 纏繞獎勵池的已棄用 V2 奖勵合約。該合約已閒置約 17 個月。此漏洞集中在新創建的纏繞帳戶中未初始化的「last_index」變數,使攻擊者能夠申領相當於 20 個月累積的巨額追溯獎勵。
 
報告將此次攻擊描述為閃電貸款與預言機價格操縱相結合,使攻擊者能夠以扭曲的利率借入資產、提取價值,並在同一次交易中還幣。團隊已隔離問題、凍結合約,並確認主要用戶充幣和核心資金市場功能仍處於安全狀態。操作在短時間內恢復,協議強調該側合約對主要借貸活動無任何影響。此迅速應對防止了更大範圍的連鎖反應,但該事件仍引起加密貨幣社區對每日損失追蹤的關注。
 

隱藏了17個月的技術漏洞

該漏洞存在於一個已不再驅動活躍用戶激勵的舊版獎勵機制中。開發人員已轉向更新的版本,但舊套件仍可在 Sui 區塊鏈上被調用。攻擊者利用此漏洞創建了 spool 帳戶,其中未初始化的指數以某種方式默認,導致獎勵計算被大幅放大。一旦積累足夠點數,攻擊者便將其轉換為來自資金池的實際 SUI tokens。安全分析師指出,該合約的設計假設了正確的初始化,這是在代碼被棄用但未完全移除或設置訪問控制時常見的疏忽。
 
此案例顯示了區塊鏈如何永遠保存每個已部署的合約,將被遺忘的模組轉變為潛在負債。Scallop 的快速凍結阻止了進一步的資金流失,但此事件引發了關於團隊如何在 Sui 等高吞吐量網路中處理代碼退役的問題,這些網路的交易速度鼓勵頻繁更新,卻未必總能清理過去的遺留代碼。
 

為何已棄用的合約仍在 DeFi 中引發問題

許多協議推出功能、進行測試後,便將重點轉向新的升級或整合。舊合約仍保留在鏈上,因為完全移除它們可能會破壞歷史資料或需要複雜的遷移。在 Scallop 的情況下,V2 奖勵池已超過一年沒有顯著活動,但仍保留了足夠的 SUI,使攻擊有利可圖。類似的模式在各個生態系統中均有所體現:團隊更注重增長和新的 TVL,而非對舊有部分進行全面審計。
 
該結果為使用自動化工具掃描未維護代碼的攻擊者留下了可乘之機。Scallop 的事件進一步印證了一種模式:即使損失規模小且孤立,仍反映出更廣泛的維護缺口。僅與現有介面互動的用戶可能永遠不會意識到,若不主動處理休眠代碼,它們可能間接影響對整個平台的信任。
 

閃電貸款與預言機詭計在現代攻擊中相遇

閃電貸款讓使用者無需抵押即可借入巨額資金,只要在單一原子交易中完成還款即可。攻擊者將其與價格預言機操縱結合,以製造虛假的市場條件。在 Scallop 事件中,攻擊者很可能扭曲了與獎勵合約相關的數據源,從而在還款前進行超額借入或申領獎勵。這種手法已成為標準操作流程,因為它無需前期資本,並利用數據來源中的臨時不一致。
 
在 Sui 上,憑藉其以物件為中心的模型和快速最終性,此類攻擊可以精準執行。Scallop 案例顯示,當預言機將資料輸入至獎勵邏輯時,即使是非核心組件也會成為目標。使用多個預言機或時間加權平均值的協議旨在降低此風險,但舊有合約通常缺乏這些防護措施,為監控鏈上活動的複雜參與者創造了易於進入的入口。
 

Scallop 的回應與全額彌補損失的決定

Scallop 迅速凍結了存在漏洞的合約,並透過 X 平台發布透明更新。團隊表示,活躍池中的用戶資金並無風險,並承諾從協議資源中全額賠償 150,000 SUI。這種做法保護了存款人,有助於在 Sui 上競爭激烈的借貸市場中維持信心。通過將問題限制在側合約中,Scallop 避免了主運營的中斷,使借貸活動得以繼續進行。
 
此舉呼應了某些協議選擇自保而非讓用戶承擔損失的做法,特別是在漏洞源於非核心代碼的情況下。觀察家指出,此舉限制了聲譽損失,但仍然凸顯了協議在出現漏洞時所承擔的實際成本。全面賠償讓零售參與者安心,避免他們在不確定期間提幣,從而維持整個生態系統的流動性。
 

2026 年 4 月 DeFi 事件的殘酷衝擊

2026 年 4 月已記錄該行業大規模損失,僅該月上半月就因多起事件導致總損失超過 6 億美元。知名案例包括 Kelp DAO 橋樑遭攻擊,導致約 2 億 9300 萬美元的 rsETH 被盜,以及 Drift Protocol 事件涉及約 2 億 8500 萬美元。較小的漏洞,例如 Volo Protocol 於 4 月 22 日損失 350 萬美元,也迅速累積。Scallop 的 14 萬美元損失屬於較為有限的案例之一,但仍為這個使 4 月顯得特別艱難的月度總損失做出貢獻。
 
追蹤公司的數據顯示,攻擊向量的頻率和多樣性均出現上升,從橋樑訊息偽造到社交工程和智能合約漏洞不等。今年年初事件的集中發生,使今年至今的數字遠高於過往季度,令整個行業面臨壓力,亟需檢視為何儘管部分協議日趨成熟,損失仍持續累積。
 

Sui 不斷壯大的生態正面臨新的審視

Sui 已將自身定位為具有物件導向架構的高性能 Layer 1,支援平行執行與快速結算。Scallop 是其領先的貨幣市場協議之一,透過高效的借貸與收益機會吸引用戶。儘管此次攻擊影響有限,但仍為該生態系統內的安全實踐帶來了新的關注。新鏈通常會快速推出協議並實現 TVL 增長,但這種速度可能忽略完善的傳統管理。
 
基於 Sui 的項目受益於該網絡的技術優勢,但 Scallop 的案例表明,鏈層面的優勢並不能自動使個別智能合約免受設計疏忽的影響。社區討論集中在於,在創新平台上更快的開發週期是否會無意中增加對被忽略代碼路徑的暴露風險。此事件促使 Sui 上的各團隊審視部署規範,並鼓勵更好地記錄已棄用的模組。
 

遭受攻擊的協議背後的人性面

每一起攻擊背後都坐著真實的人,他們的時間、資金與信任都懸於一線。於4月26日,曾將 sSUI 池進行質押或獲得獎勵的 Scallop 用戶曾短暫面臨不確定性,直至團隊作出保證。開發者們在構建 V2 合約後又將其擱置,可能從未想過在長達17個月的不活動後,它會成為攻擊目標。發現交易流動的安全研究人員與鏈上分析師花了數小時追蹤未初始化變數與獎勵通脹機制。
 
對於蘇伊社區中的小型參與者而言,這場活動顯得格外親切,因為許多人將 DeFi 平台視為日常獲利的工具,而非高風險的實驗。該協議對全面覆蓋的承諾,緩解了因市場情緒間接受影響者的即時壓力。這類故事提醒我們,代碼運行於人類的決策之上,涉及哪些部分應維護、哪些應退役,以及在出錯時如何透明地溝通。
 

在借貸協議中反覆出現的模式

借貸平台通常具有相似的架構,包括抵押品、借貸、預言機和激勵層。Scallop 的獎勵滾動機制與許多貨幣市場的功能相似,這些市場會以點數或代幣獎勵參與者。當團隊在未完全切斷與資產池聯繫的情況下棄用激勵系統時,風險依然存在。閃電貸款攻擊曾針對類似設置,因為它們能將微小的價格差異放大為巨大收益。Scallop 合約長達 17 個月的休眠狀態,反映了協議升級介面但後端邏輯仍可訪問的情況。
 
在各個生態系統中,審計人員有時過度關注活動代碼,而對已歸檔的套件審查較少。此事件為有關代碼生命週期管理的討論提供了具體數據:定期淘汰流程、訪問權限撤銷,甚至鏈上標記以表明棄用,均可減少突發攻擊。此事件符合一個更廣泛的觀察:激勵機制雖然有助於用戶參與,但若未經過長期壓力測試,往往會引入易受邊界情況影響的複雜計算。
 

數字揭示2026年DeFi損失趨勢

追蹤服務報告指出,2026 年初 DeFi 的損失已達數億美元,而 4 月的損失速度顯著加快。一項分析顯示,在約 18 天內,因十餘起事件,4 月的損失已超過 6 億美元。部分估計顯示,截至當前的年度總損失已超過 7.5 億美元,主要由橋樑攻擊、預言機問題和運營漏洞共同推動。像 Scallop 這樣的較小事件同樣重要,因為它們累積起來會削弱整個領域的信心。
 
平均損失規模各不相同,但即使是有限的入侵也表明,安全失敗的代價最終由協議金庫或保險池承擔。這些數據來自於實時監控漏洞的公司所收集的鏈上數據和事件報告。四月份的集中爆發凸顯了當市場條件或工具改進使某些攻擊向量變得更為有利可圖時,攻擊群集可能隨之出現。Scallop 的案例僅佔月度總數的一小部分,但仍強化了這樣一個觀點:即使在充滿前景的生態系統中鎖定總價值持續增長,漏洞依然存在。
 

從團隊處理漏洞後恢復中學到的教訓

快速隔離與透明溝通已成為有效應對的關鍵指標。Scallop 在確認問題已受控後,解凍了核心合約,使正常活動得以恢復,避免了長期停機。內部承擔損失可避免迫使用戶承受資產減記,從而防止在競爭激烈的市場中引發資金外流。許多協議現已設立專門的安全預算,或與保險公司合作,以應對此類事件。
 
Scallop 團隊的公開聲明與後續更新有助於限制猜測和恐慌。相比之下,過往事件中較慢或較不清晰的回應曾導致 TVL 長期下滑。這種做法展現了提前準備事件應對計畫的重要性,包括合約暫停機制和側池的明確歸屬。對於用戶而言,觀察團隊在披露後數小時內的行動,能深入了解其運營成熟度,超越市場宣傳的說法。
 

為用戶提供更廣泛的收益機會訊號

Scallop 活動鼓勵用戶更深入地探討收益的來源以及支撐這些收益的程式碼。參與者通常會查看當前的年化收益率(APY)和總鎖倉價值(TVL),但很少深入研究合約歷史或折舊狀況。在 Scallop 等平台上,sSUI 相關獎勵曾與存在漏洞的 spool 關聯,因此理解激勵機制的演變至關重要。用戶應優先選擇那些清晰記錄程式碼變更並妥善退役舊組件的協議。
 
此事件也突顯了鏈特定功能的作用:Sui 的模型能實現高效互動,但仍需謹慎維護智能合約的潔淨性。在事件發生期間,分散於多個平台並監控官方渠道,有助於控制風險敞口。雖然沒有任何平台能完全消除風險,但了解常見模式,例如舊有獎勵邏輯或閃電貸款依賴性,能幫助用戶在創新快速推進的領域中做出更明智的選擇。
 

展望不斷演變的去中心化金融中的安全實踐

隨著協議逐漸成熟,重點正轉向更完善的代碼治理,包括自動退役未使用的合約以及加強對閒置模組的監控。團隊正在探索正式驗證或專門針對遺留代碼的持續漏洞懸賞計劃。Scallop 的案例雖然規模不大,但卻提供了一個實際的提醒:在新鏈上的成長並不能消除對嚴謹維護的需求。
 
社區治理有時會對安全升級進行投票,讓用戶參與優先審計的決策。未來的設計可能引入時間鎖或明確的棄用標誌,以防止調用舊邏輯。此事件豐富了對實際攻擊面的集體認知,協助各項目開發者預判類似問題。無論是用戶還是開發者,都應將每個已部署的合約視為潛在活躍狀態,直至經過嚴格清理後才可排除風險。
 

常見問題

2026 年 4 月 26 日,Scallop 遭遇攻擊的具體情況是什麼?
攻擊者利用閃電貸款操控與 sSUI 池相關的已棄用 V2 奖勵合約,盜取了約 150,000 SUI,價值約 142,000 美元。核心借貸協議未受影響,團隊已迅速凍結該合約,並承諾全額賠償。
 
用戶在 Scallop 上的主要充幣有損失嗎?
不是。該漏洞僅針對一個已停用 17 個月的側邊獎勵合約。主要的貨幣市場運營、用戶充幣和活躍池均未中斷,且協議承諾完全從其資源中承擔損失。
 
為何已棄用的合約在推出多年後仍會構成風險?
區塊鏈會永久保留每個智能合約。當團隊停止使用舊版本但未完全限制或移除它們時,若存在未初始化變數等漏洞,攻擊者仍可進行互動。Scallop 的案例顯示,即使長達 17 個月未活動,獎勵池的價值仍成為攻擊目標。
 
在 DeFi 借貸協議中,閃電貸款攻擊有多常見?
它們定期出現,因為閃電貸款無需抵押品且即時結算。將其與Oracle操縱結合,使攻擊者能夠製造臨時扭曲以提取價值。Scallop事件遵循了這一模式,但僅限於非核心組件。
 
DeFi 用戶可以採取哪些步驟來降低類似事件的風險?
查閱官方公告以確認是否有報告的問題,審視協議的程式碼更新歷史,並了解收益的來源。優先選擇溝通透明且應對記錄良好的平台。將資產分散至不同鏈和協議,也有助於管理整體風險。
 
Scallop 活動是否表明 Sui 生態面臨更大的問題?
這突顯了即使在高性能鏈上,也需謹慎管理舊代碼。Sui 仍基於堅實的技術基礎持續成長,但各個協議必須對已棄用的元件保持良好的維護習慣。損失的範圍有限且恢復迅速,表明該生態系統在出現問題時能有效應對。
 
 

免責聲明

此內容僅供資訊參考,不構成投資建議。加密貨幣投資存在風險,請自行進行研究(DYOR)。

免責聲明: 本頁面經由 AI 技術(GPT 提供支持)翻譯,旨在方便您的閱讀。欲獲取最準確資訊,請以原始英文版本為準。