Sui Network 分散式借貸協議 Scallop 於 4 月 26 日(周日)透過 X 平台發布官方公告,確認遭受漏洞攻擊,攻擊者從與 sSUI spool 關聯的廢棄獎勵合約中提取約 150,000 枚 SUI。根據官方聲明,核心資金池及用戶存款未受影響,協議已恢復存提款,確認將以公司資金全額賠償所有損失。
Dòng thời gian sự kiện và phản hồi chính thức từ Scallop
Theo thông báo trên nền tảng X chính thức của Scallop (12:50 UTC ngày 26 tháng 4), mục tiêu của cuộc tấn công là hợp đồng phần thưởng phụ thuộc của sSUI spool; hợp đồng này là lớp khuyến khích dành cho người gửi tiền SUI của giao thức, không phải logic cốt lõi của hoạt động vay mượn. Nhóm Scallop đã đóng băng hợp đồng bị ảnh hưởng trong vòng vài phút sau khi sự cố xảy ra; hợp đồng cốt lõi được đóng băng và việc mở khóa diễn ra trong vòng hai giờ, còn việc rút và nạp được khôi phục vào 14:42 UTC.
Tuyên bố chính thức của Scallop cho biết: “Scallop sẽ bồi hoàn toàn bộ 100% tổn thất.”
Phân tích kỹ thuật lỗ hổng: Bộ gói chưa được khởi tạo của năm 2023 đã bị bỏ
(Nguồn:Vadim)
Theo phân tích độc lập trên chuỗi, điểm xâm nhập là bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023, cách thời điểm xảy ra cuộc tấn công này hơn 17 tháng. Trong kiến trúc kỹ thuật của Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi.
Kẻ tấn công đã phát hiện bộ đếm last_index chưa được khởi tạo trong gói phần mềm; bộ đếm này dùng để theo dõi phần thưởng tích lũy của những người đặt cọc. Kẻ tấn công đã đặt cược khoảng 136,000 sSUI; hệ thống xem vị thế này như một vị thế đã tồn tại kể từ khi spool được khởi chạy từ tháng 8 năm 2023. Sau khoảng 20 tháng tích lũy theo cấp số nhân, chỉ số của spool tăng lên khoảng 1.19 tỷ, giúp kẻ tấn công nhận được khoảng 162 nghìn tỷ điểm thưởng, và được đổi theo tỷ lệ 1:1 thành 150,000 SUI.
Có thể tra cứu lịch sử giao dịch trên chuỗi theo giá trị băm (hash): 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Ghi nhận các sự kiện lỗ hổng DeFi gần đây trên Sui
Theo các bài báo đưa tin công khai, đầu tháng 4 năm 2026, Volo Protocol trên Sui Network đã xảy ra một cuộc tấn công tương tự; mục tiêu cũng là các hợp đồng phụ thuộc chứ không phải logic cốt lõi của giao thức, với thiệt hại khoảng 3.5 triệu USD. Ngoài ra, một tuần trước khi xảy ra cuộc tấn công, mạng Ethereum đã ghi nhận một vụ tấn công bắc cầu; khoảng 292 triệu USD token thanh khoản được tái đặt cọc không có bảo đảm đã bị đánh cắp.
Cho đến thời điểm bài viết này được công bố, Sui Foundation và Mysten Labs đều chưa đưa ra tuyên bố công khai về sự kiện Scallop. Theo phần giải thích chính thức của Scallop, giao thức có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn; lịch kiểm toán sẽ được xác định sau.
Câu hỏi thường gặp
Thời điểm xảy ra cuộc tấn công lỗ hổng này và quy mô thiệt hại là gì?
Theo thông báo trên nền tảng X chính thức của Scallop, cuộc tấn công xảy ra vào 12:50 UTC ngày 26 tháng 4 năm 2026 (Chủ nhật); kẻ tấn công đã rút khoảng 150,000 SUI từ hợp đồng phần thưởng của sSUI spool bị bỏ. Quỹ cho vay/ vay mượn cốt lõi và tiền gửi của người dùng trên các thị trường khác đều không bị ảnh hưởng.
Scallop đã cam kết chính thức gì cho cuộc tấn công lần này?
Theo tuyên bố chính thức của Scallop, giao thức đã đóng băng các hợp đồng bị ảnh hưởng trong vòng vài phút sau cuộc tấn công và khôi phục đầy đủ chức năng hoạt động vào 14:42 UTC (khoảng hai giờ sau khi thông báo được đăng). Scallop xác nhận sẽ bồi hoàn toàn bộ các tổn thất bằng vốn công ty, lợi ích của người dùng không bị ảnh hưởng, và có kế hoạch tiến hành kiểm toán toàn diện đối với tất cả các bộ gói phiên bản cũ hiện còn.
Nguyên nhân kỹ thuật cốt lõi của lỗ hổng này là gì, và có liên quan như thế nào đến kiến trúc kỹ thuật của Sui Network?
Theo phân tích độc lập trên chuỗi, lỗ hổng bắt nguồn từ một bộ đếm last_index chưa được khởi tạo trong bộ gói V2 spool bị bỏ mà Scallop triển khai vào tháng 11 năm 2023. Trên Sui Network, các bộ gói đã được triển khai không thể thay đổi; trừ khi có thiết lập rõ ràng về kiểm soát phiên bản, thì phiên bản cũ vẫn có thể được gọi, qua đó cho phép kẻ tấn công khai thác đoạn mã bị bỏ đã hơn 17 tháng trước để rút 150,000 SUI.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Chuyển tiền Western Union: Xác nhận cuộc họp báo cáo tài chính Q1 — USDPT stablecoin ra mắt vào đầu tháng 5
Theo nội dung cuộc gọi thu nhập quý 1 của Western Union vào ngày 24 tháng 4, Tổng giám đốc kiêm Giám đốc điều hành của Western Union, Devin McGranahan, đã xác nhận rằng stablecoin USDPT của công ty hiện đang trong giai đoạn chuẩn bị cuối cùng và dự kiến sẽ chính thức ra mắt vào tháng 5.
MarketWhisper4phút trước
Trần Vũ Thần cho biết TRON là mạng lưới chống tấn công lượng tử đầu tiên trên toàn cầu, ra mắt mainnet vào Q3 năm 2026
Người sáng lập TRON, Justin Sun (Tôn Vũ Trần), vào ngày 26 tháng 4 đã đăng bài trên X để công bố rằng TRON dự kiến sẽ kích hoạt tính năng chống tấn công lượng tử trên mạng thử nghiệm trong quý 2, kế hoạch ra mắt mạng chính sẽ được thực hiện trong quý 3. Trong bài đăng, Justin Sun gọi kế hoạch nâng cấp lần này là “mạng lưới chống tấn công lượng tử đầu tiên trên toàn cầu”. Mặc dù mối đe dọa lượng tử hiện vẫn chủ yếu nằm ở cấp độ lý thuyết, Ethereum, Solana và các nền tảng khác đều đã công bố kế hoạch hoặc lộ trình nâng cấp mật mã hậu lượng tử (PQC).
MarketWhisper11phút trước
DeFi United huy động gây quỹ vượt 10,2 vạn ETH, AAVE bật tăng lên 100 USD
Theo trang chính thức của DeFi United, quỹ cứu trợ đa giao thức DeFi United, được khởi xướng do các nhà cung cấp dịch vụ của Aave dẫn dắt, tính đến ngày 27 tháng 4 đã huy động được hơn 102.000 ETH, nhằm bù đắp khoảng thiếu nợ xấu phát sinh trong thị trường Aave V3 sau vụ tấn công vào cầu chuyển chuỗi chéo của Kelp DAO vào ngày 18 tháng 4. AAVE đã tạm thời vượt ngưỡng 100 USD rồi quay đầu giảm.
MarketWhisper55phút trước
Mainnet DPoS của Vcitychain chính thức ra mắt với hệ thống đồng thuận do tự phát triển
Tin tức từ Gate, ngày 27 tháng 4 — Vcitychain, một blockchain cấp thương mại, chính thức ra mắt mainnet DPoS của mình hôm nay, chuyển sang hệ thống đồng thuận Delegated Proof of Stake (DPoS) do tự phát triển.
Nâng cấp này nhằm nâng cao hiệu suất mạng, tăng mức độ phi tập trung và cải thiện on-chain g
GateNews1giờ trước
ApeCoin Chuyển Giao Quyền Điều Khiển Trò Chơi Cho Cộng Đồng Khi Mùa Blackbeard's Bounty Season 3 Kết Thúc
Tin tức Gate, ngày 27 tháng 4 — ApeCoin đã công bố rằng mùa nhiệm vụ Blackbeard's Bounty đã chính thức kết thúc, dù vậy khả năng để người dùng tạo và hoàn thành các nhiệm vụ bounty vẫn sẽ được duy trì. Khi mùa giải kết thúc, quyền điều khiển trò chơi đang được chuyển giao cho cộng đồng, với các hướng phát triển trong tương lai sẽ do người chơi quyết định.
GateNews1giờ trước
Hệ sinh thái FLOA ra mắt bộ AI FloaClaw với ma trận kỹ năng đa kịch bản
Tin tức từ Gate, ngày 27 tháng 4 — Hệ sinh thái FLOA đã chính thức ra mắt FloaClaw, bộ công cụ AI cốt lõi của mình, với ma trận kỹ năng AI đa kịch bản. Quyền truy cập vào các chức năng của FloaClaw chỉ giới hạn cho người dùng Agent từ cấp 3 trở lên.
FloaClaw hoạt động theo hệ thống dựa trên token, trong đó người dùng mua token sức mạnh tính toán được hỗ trợ bởi BNB để tiêu thụ [AI skills]https://www.gate.com/zh/skills-hub,, với mức tiêu thụ được điều chỉnh theo độ phức tạp của tác vụ. Nền tảng có kế hoạch liên tục mở rộng với các kỹ năng AI và mô-đun công cụ mới. FLOA cũng sẽ giới thiệu hệ thống chia sẻ doanh thu cho người tạo, cho phép các nhà sáng tạo Agent kiếm được một phần token sức mạnh tính toán từ việc người dùng tiêu thụ kỹ năng, với hỗ trợ rút BNB chỉ bằng một lần nhấp để xây dựng một nền kinh tế nhà sáng tạo bền vững.
FLOA là nền tảng hệ sinh thái Web3 Agent thông minh được xây dựng trên BNB Chain, tích hợp khả năng phân tích dữ liệu và tự động hóa on-chain với cơ chế khuyến khích mở nhằm trao quyền cho người dùng và thúc đẩy tăng trưởng hệ sinh thái.
GateNews1giờ trước
