Gate 新闻消息,4月26日——Scallop Protocol,这是一个运行在 Sui 区块链上的借贷平台,遭遇了一次针对其 sSUI 奖励池相关的已弃用侧合约的闪电贷漏洞利用,造成约损失 $142,000 (150,000 SUI)。此次攻击利用预言机价格行情操纵来人为压低 SUI/USDC 的兑换汇率,并以失真的价格借入资产,攻击者在同一笔交易中偿还了闪电贷,并将差额据为己有。
核心问题源于 2023 年 11 月部署的一份已弃用 V2 合约,该合约在链上仍可调用。在这个过时的合约中,一个名为 “last_index” 的关键变量在创建新账户时从未被初始化。该缺陷使攻击者能够在声称自资金池成立以来一直在质押的情况下领取奖励。由于奖励索引在 20 个月内增长至 19. 亿(1.19 billion),攻击者质押了 136,000 sSUI,但却获得了 162 万亿(162 trillion)点数的计分。由于奖励池以 1:1 的兑换率运行,这些点数会直接兑换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI,所有资金被洗劫一空。链上数据表明,偷走的资金很快通过混币服务转移,使得追回工作更加复杂。
Scallop 团队通过在临时暂停运营后解冻核心合约并恢复所有运营来做出回应。该协议确认此次漏洞仅限于已弃用的奖励合约,不影响核心协议或用户存款,且所有资金仍然安全。随后,攻击者联系团队,提出以返还被盗资金的 80% 换取白帽赏金,目前该事件正在调查中。团队将审查该缺陷为何在此前由包括 OtherSec 和 MoveBit 在内的多家公司进行的审计中未被发现。
SUI 价格在遭受该漏洞利用后保持韧性,攻击后 24 小时内上涨约 2%,并以 $0.94 交易,日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的一种趋势:主要的 DeFi 漏洞利用瞄准的已是不再使用的合约以及基础设施层,而不是核心协议逻辑;在该月的 12 起重大事件中,累计损失超过 $600 million。
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تفتح شركة Aftermath Finance صفحة للمطالبات أمام المستخدمين المتضررين بعد الحادث الذي وقع الأسبوع الماضي
وبحسب البيان الرسمي الصادر عن Sui على X، فتح Aftermath Finance صفحة للمطالبات للمستخدمين المتأثرين بالهجوم الذي وقع الأسبوع الماضي، مع معالجة جميع عمليات الاسترداد. عند إعادة اتصال المستخدمين بـ aftermath.finance، سيقوم النظام بطلب سحب الأرصدة من Aftermath Perps. يمكن للمستخدمين المتأثرين التواصل مع ث
GateNewsمنذ 35 د
تشارك شركة Ripple معلومات استخبارية عن قراصنة كوريا الشمالية مع صناعة العملات المشفرة، مع تحوّل أساليب الهجوم إلى الهندسة الاجتماعية
حسب BlockBeats، في 5 مايو أعلنت شركة Ripple أنها تشارك معلومات استخباراتية داخلية حول التهديدات التي يشنها قراصنة من كوريا الشمالية مع صناعة العملات المشفرة عبر Crypto ISAC. وتأتي هذه الخطوة لمعالجة تحول أساسي في منهجيات الهجوم: بدلًا من استغلال ثغرات في كود العقود الذكية، فإن جهة التهديد
GateNewsمنذ 48 د
تيدرو توقف جميع الأسواق في 5 مايو بسبب مشكلة في أوراكل؛ أموال المستخدمين في أمان
وفقاً لـ BlockBeats، أوقفت Tydro، وهي بروتوكول إقراض ضمن منظومة Ink، جميع الأسواق في 5 مايو بعد تقرير عن مشكلة من جهة خارجية في أوراكل. أكدت المجموعة أن أموال المستخدمين ما تزال في أمان، وهي تحقق بنشاط في
GateNewsمنذ 1 س
هاكر يخدع وكلاء الذكاء الاصطناعي عبر تشفير مورز! قام مجرمو الإنترنت بإيقاع Grok وBankrBot في تحويلات، واستولوا على ما يعادل 170 ألف دولار من العملات المشفرة
منصة X تكشف ثغرة في وكلاء الذكاء الاصطناعي: يستغل المهاجمون ثغرة عبر الحصول على صلاحية تحويلات محفظة Grok من خلال Bankr Club NFT، ثم يستخدمون أوامر في صيغة شيفرة مورس لإجبار BankrBot على تحويل نحو 300 مليون DRB دون مراجعة من البشر، بقيمة سوقية تقارب 175,000 دولار. تكمن المشكلة في أن بنية BankrBot لم تعتبر مخرجات الذكاء الاصطناعي كإذن، وقد تم استرداد الأموال، وسيتم تعزيز إجراءات الحماية مثل مفاتيح API والقوائم البيضاء للـ IP.
ChainNewsAbmediaمنذ 2 س
يتسعى Aave إلى رفع تجميد $73M ETH من استغلال Kelp DAO
قدّمت شركة Aave LLC في 1 مايو طلباً مستعجلاً أمام محكمة فيدرالية، ساعيةً إلى رفع تجميدٍ فرضته المحكمة على ما يُقارب 73 مليون دولار من الإيثر المستعاد من استغلال Kelp DAO الذي وقع في 18 أبريل، بحجة أن الحيازة المؤقتة للأصول المسروقة لا تعني ملكيتها. ويطعن الطلب في القيود التي تمنع
CryptoFrontierمنذ 3 س
