Sui Network แบบกระจายศูนย์สัญญาเงินกู้ยืม Scallop ประกาศอย่างเป็นทางการผ่านแพลตฟอร์ม X เมื่อวันที่ 26 เมษายน (วันอาทิตย์) ยืนยันว่าได้รับความเสียหายจากการโจมตีช่องโหว่ โดยผู้โจมตีได้ดึง SUI ประมาณ 150,000 เหรียญออกมาจากสัญญารางวัลที่ถูกทิ้งร้าง (ร้าง) ที่เกี่ยวข้องกับ sSUI spool ตามคำแถลงอย่างเป็นทางการ แหล่งเงินกองทุนหลักและเงินฝากของผู้ใช้ไม่ได้รับผลกระทบ สัญญาได้กลับมาทั้งการฝากและการถอนแล้ว และยืนยันว่าจะชดเชยความเสียหายทั้งหมดด้วยเงินทุนของบริษัทเต็มจำนวน
ไทม์ไลน์เหตุการณ์และคำตอบอย่างเป็นทางการของ Scallop
จากประกาศบนแพลตฟอร์ม X อย่างเป็นทางการของ Scallop (26 เมษายน 12:50 UTC) เป้าหมายของการโจมตีคือสัญญารางวัลเสริมของ sSUI spool ซึ่งเป็นเลเยอร์แรงจูงใจสำหรับผู้ฝาก SUI ของโปรโตคอล ไม่ใช่ตรรกะเงินกู้ยืมหลัก ทีม Scallop ภายในไม่กี่นาทีหลังเกิดเหตุ ได้ทำการแช่แข็งสัญญาที่ได้รับผลกระทบ โดยสัญญาหลักถูกแช่แข็งจนปล่อยได้ภายในสองชั่วโมง การถอนและการฝากกลับมาทำงานอีกครั้งที่ 14:42 UTC
คำแถลงอย่างเป็นทางการของ Scallop ระบุว่า: “Scallop จะชดเชยความเสียหายทั้งหมด 100%”
การวิเคราะห์ทางเทคนิคของช่องโหว่: ตัวนับ last_index ที่ไม่ได้เริ่มต้นในแพ็กเกจที่ถูกทิ้งร้างในปี 2023
(ที่มา:Vadim)
จากการวิเคราะห์อิสระบนเชน จุดเริ่มต้นของการโจมตีคือแพ็กเกจ V2 spool ที่ถูกทิ้งร้าง ซึ่ง Scallop ได้ทำการดีพลอยในเดือนพฤศจิกายน 2023 โดยเวลาห่างจากการโจมตีครั้งนี้มากกว่า 17 เดือน ในสถาปัตยกรรมเทคนิคของ Sui Network ไม่สามารถเปลี่ยนแปลงแพ็กเกจที่ได้ดีพลอยไว้ได้ หากไม่ได้ตั้งค่าการควบคุมเวอร์ชันอย่างชัดเจน เวอร์ชันเก่าจะยังสามารถถูกเรียกใช้งานได้
ผู้โจมตีพบตัวนับ last_index ที่ไม่ได้เริ่มต้นในแพ็กเกจ โดยตัวนับนี้ใช้เพื่อติดตามรางวัลสะสมของผู้เดิมพัน ผู้โจมตีทำการสเตคประมาณ 136,000 เหรียญ sSUI ระบบจะมองตำแหน่งนี้เป็นตำแหน่งที่มีอยู่ตลอดมาตั้งแต่ spool เริ่มทำงานในเดือนสิงหาคม 2023 หลังจากการสะสมแบบทบต้นตามดัชนีประมาณ 20 เดือน ดัชนีของ spool เติบโตถึงราว 1.19 พันล้าน ทำให้ผู้โจมตีได้รับคะแนนรางวัลประมาณ 162 ล้านล้าน และแลกเป็น SUI จำนวน 150,000 เหรียญในอัตราส่วน 1:1
สามารถค้นดูบันทึกธุรกรรมบนเชนได้จากค่าแฮช: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
บันทึกเหตุการณ์ช่องโหว่ของ Sui DeFi เมื่อไม่นานมานี้
จากรายงานสาธารณะ ในช่วงต้นเดือนเมษายน 2026 โปรโตคอล Volo บน Sui Network เกิดการโจมตีที่คล้ายกัน โดยเป้าหมายของการโจมตีก็เป็นสัญญาส่วนเสริมเช่นกัน ไม่ใช่ตรรกะของโปรโตคอลหลัก ความเสียหายประมาณ 3.5 ล้านดอลลาร์สหรัฐ นอกจากนี้ หนึ่งสัปดาห์ก่อนการโจมตี ในเครือข่าย Ethereum ได้เกิดเหตุการณ์การโจมตีแบบบริดจ์ โดยขโมยโทเค็นที่ถูกนำกลับไปสเตคแบบไม่มีหลักประกันมูลค่าราว 2.92 ร้อยล้านดอลลาร์สหรัฐ
ขณะเวลาที่เผยแพร่รายงานนี้ Sui Foundation และ Mysten Labs ยังไม่ได้ออกแถลงการณ์ต่อสาธารณะเกี่ยวกับเหตุการณ์ของ Scallop ตามคำอธิบายอย่างเป็นทางการของ Scallop โปรโตคอลมีแผนจะดำเนินการตรวจสอบอย่างครอบคลุมสำหรับแพ็กเกจเวอร์ชันเก่าทั้งหมดที่ยังมีอยู่ โดยกำหนดการตรวจสอบยังไม่แน่ชัด
คำถามที่พบบ่อย
การโจมตีด้วยช่องโหว่ครั้งนี้เกิดขึ้นเมื่อใด และขนาดความเสียหายเป็นอย่างไร?
จากประกาศบนแพลตฟอร์ม X อย่างเป็นทางการของ Scallop การโจมตีเกิดขึ้นเมื่อวันที่ 26 เมษายน 2026 (วันอาทิตย์) เวลา 12:50 UTC โดยผู้โจมตีได้ดึง SUI ประมาณ 150,000 เหรียญออกมาจากสัญญารางวัลของ sSUI spool ที่ถูกทิ้งร้าง กองทุนเงินกู้ยืมหลักและเงินฝากของผู้ใช้ในตลาดอื่นๆ ไม่ได้รับผลกระทบ
Scallop ได้ให้คำมั่นอย่างเป็นทางการอะไรบ้างต่อการโจมตีครั้งนี้?
ตามคำแถลงอย่างเป็นทางการของ Scallop ภายไม่กี่นาทีหลังเกิดการโจมตี ได้มีการแช่แข็งสัญญาที่ได้รับผลกระทบ และคืนค่าฟังก์ชันการทำงานของระบบทั้งหมดที่ 14:42 UTC (ห่างจากเวลาเผยแพร่ประกาศประมาณสองชั่วโมง) Scallop ยืนยันว่าจะชดเชยความเสียหายทั้งหมดด้วยเงินทุนของบริษัทเต็มจำนวน รายได้ของผู้ใช้ไม่ได้รับผลกระทบ และมีแผนจะดำเนินการตรวจสอบอย่างครอบคลุมสำหรับแพ็กเกจเวอร์ชันเก่าทั้งหมดที่ยังมีอยู่
เหตุผลทางเทคนิคพื้นฐานของช่องโหว่นี้คืออะไร และเชื่อมโยงกับสถาปัตยกรรมเทคนิคของ Sui Network อย่างไร?
จากการวิเคราะห์อิสระบนเชน ช่องโหว่นี้เกิดจากตัวนับ last_index ที่ไม่ได้เริ่มต้น ในแพ็กเกจ V2 spool ที่ถูกทิ้งร้างซึ่งดีพลอยในเดือนพฤศจิกายน 2023 บน Sui Network ไม่สามารถเปลี่ยนแปลงแพ็กเกจที่ได้ดีพลอยไว้ได้ หากไม่ได้ตั้งค่าการควบคุมเวอร์ชันอย่างชัดเจน เวอร์ชันเก่าจะยังสามารถถูกเรียกใช้งานได้ ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากโค้ดที่ถูกทิ้งร้างซึ่งย้อนหลังไปกว่า 17 เดือน เพื่อดึง SUI จำนวน 150,000 เหรียญได้
