核心问题源于 2023 年 11 月部署的一个已弃用 V2 合约,该合约在链上仍可被调用。在该过时合约中,名为 "last_index" 的关键变量在新账户创建时从未被初始化。此缺陷使攻击者能够在错误地作为自资金池成立以来就一直在质押的情形下领取奖励。随着奖励索引在 20 个月内增长至 1.19 billion,攻击者质押 136,000 sSUI,但却获得了 162 trillion 点数的信用。由于奖励池以 1:1 的兑换比率运行,这些点数将直接转换为价值 162,000 SUI 的奖励。资金池仅包含 150,000 SUI,所有资金被洗劫一空。链上数据表明,被盗资金很快通过一个混币服务转移,增加了追回难度。
Scallop 团队通过临时暂停运营来应对,然后解冻核心合约并恢复所有运营。该协议确认此次漏洞被隔离在已弃用的奖励合约中,不影响核心协议或用户存款,所有资金仍然安全。攻击者随后联系团队,提出在换取白帽赏金的情况下归还被盗资金的 80%,而该事件目前正在调查中。团队将审查该漏洞为何未在此前由包括 OtherSec 和 MoveBit 在内的公司进行的审计中被发现。
在此次漏洞攻击后,SUI 价格依然保持韧性,攻击发生后的 24 小时内上涨约 2%,并以 0.94 美元交易,日交易量约为 $187 million。该事件反映了 2026 年 4 月更广泛的趋势:主要的 DeFi 漏洞攻击更多瞄准已弃用的合约和基础设施层,而非核心协议逻辑;在当月的 12 起重大事件中,累计损失超过 $600 million。