Scallop Protocol mất 142K USD trong một cuộc tấn công kết hợp flash loan và thao túng oracle

Scallop Protocol đã bị tấn công khai thác flash loan vào Chủ nhật. Kẻ tấn công được cho là đã rút khoảng $142,000 (150,000 SUI) trong một cuộc tấn công thao túng oracle có chủ đích cao. Vụ việc này không ảnh hưởng đến các hợp đồng cốt lõi của giao thức nhưng đã phơi bày một lỗ hổng thiết kế sâu hơn.

Kẻ tấn công được cho là đã khai thác một hợp đồng phụ đã lỗi thời được liên kết với pool phần thưởng sSUI của Scallop. Nhóm của họ khẳng định rằng giao thức cốt lõi vẫn nguyên vẹn và tất cả tiền gửi của người dùng đều an toàn. Tuy nhiên, thiệt hại hoàn toàn nằm trong phần bị cô lập đó.

Mã cũ hay lỗ hổng Oracle?

Các nhà phân tích cho rằng vấn đề cốt lõi là việc thao túng các nguồn dữ liệu giá oracle tùy chỉnh của Scallop. Điều này cho phép kẻ tấn công giả tạo làm giảm tỷ giá SUI/USDC và vay tài sản ở những mức giá bị bóp méo đó. Sau đó, flash loan được hoàn trả trong cùng một giao dịch. Cuối cùng, kẻ tình nghi bỏ túi phần chênh lệch.

Đây là một mô hình tấn công DeFi quen thuộc; tuy nhiên, cách thực thi trong sự kiện này lại cực kỳ chính xác. Kẻ tấn công không nhắm vào mã đang hoạt động hay các tuyến SDK tiêu chuẩn. Họ tương tác với một hợp đồng V2 cũ hơn từ tháng 11 năm 2023. Đây là phiên bản đã bị bỏ lại nhưng vẫn có thể gọi được trên chuỗi. Sui giữ tất cả các phiên bản hợp đồng đã triển khai bất biến và có thể truy cập. Đó là lý do tại sao gói lỗi thời này trở thành một bề mặt tấn công ẩn.

Giá Sui không bị ảnh hưởng sau vụ khai thác. Đồng coin này tăng gần 2% trong 24 giờ qua. Sui đang giao dịch ở mức $0.94 tại thời điểm viết bài. Khối lượng giao dịch 24 giờ của nó dao động quanh $187 triệu.

Một chuyên gia trong một bài đăng đã đề cập rằng bản thân lỗ hổng này rất tinh vi nhưng nghiêm trọng. Trong hợp đồng đã lỗi thời, một biến quan trọng "last_index" không bao giờ được khởi tạo khi một tài khoản mới được tạo. Điều này cho phép kẻ tấn công nhận phần thưởng như thể họ đã staking từ khi bắt đầu pool.

Với chỉ số phần thưởng đã tăng theo thời gian, kẻ tấn công đã tự ghi có toàn bộ pool phần thưởng trong một giao dịch duy nhất. Anh ta đề cập rằng chỉ số Spool đã tăng lên 1,19 tỷ trong vòng 20 tháng. 

Kẻ tấn công đã stake 136K sSUI và được ghi có 162 nghìn tỷ điểm. Tuy nhiên, pool phần thưởng chạy với tỷ giá hoán đổi 1:1 (tử số và mẫu số đều = 1), vì vậy 162T điểm được chuyển đổi trực tiếp thành phần thưởng trị giá 162K SUI. Pool chỉ có 150K SUI trong đó và tất cả đều bị rút cạn.

Dữ liệu on-chain cho thấy số tiền bị đánh cắp đã nhanh chóng được chuyển qua một dịch vụ trộn tiền, tương tự như Tornado Cash trên Sui. Điều này khiến việc thu hồi càng trở nên khó khăn hơn.

Scallop hoạt động trở lại sau vụ hack

Nhóm của Scallop đã phản hồi bằng cách tạm thời tạm dừng hoạt động. Sau đó, họ thông báo rằng các hợp đồng cốt lõi đã được mở khóa và tất cả hoạt động đã tiếp tục. Một bài đăng trên X nhấn mạnh rằng vấn đề không liên quan đến giao thức cốt lõi và bị cô lập ở một hợp đồng phần thưởng đã lỗi thời. Cuối cùng, tiền gửi của người dùng không bị ảnh hưởng và tất cả tài sản vẫn an toàn. Việc rút tiền và nạp tiền hiện đang hoạt động bình thường.

Kẻ tấn công được cho là đã liên hệ với nhóm và đề nghị trả lại 80% số tiền để đổi lấy tiền thưởng white-hat. Sự cố hiện đang được điều tra. Nhóm sẽ kiểm tra cách lỗ hổng này đã vượt qua các cuộc kiểm toán trước đó của các công ty như OtterSec và MoveBit.

Cryptopolitan đưa tin rằng nhiều sự cố lớn của tháng 4 năm 2026 không xuất phát từ logic giao thức cốt lõi. Chúng nảy sinh từ các hợp đồng cũ, bộ điều hợp hoặc các tầng cơ sở hạ tầng vẫn có thể truy cập nhưng bị bỏ qua. Tổng thiệt hại lũy kế đã vượt $750 triệu vào giữa tháng 4. Chỉ riêng tháng 4 năm 2026 đã chiếm hơn $600 triệu trong số tiền bị đánh cắp qua 12 sự cố lớn. 

Kelp DAO và Drift Protocol cộng lại chiếm khoảng 95% thiệt hại trong tháng 4. Cuộc tấn công vào Kelp dẫn đến $177 triệu nợ xấu trên Aave. Trong khi đó, Hội đồng Bảo mật của Arbitrum đã thành công đóng băng 30,766 ETH (trị giá khoảng $71 triệu) trong số tiền bị đánh cắp.

Hyperliquid vẫn là token lớn nhất trong danh mục DeFi. Giá HYPE tăng 10% trong 30 ngày qua. Đồng coin đang giao dịch ở mức $41.95 tại thời điểm viết bài. Chainlink đứng ở vị trí thứ 2. LINK giao dịch quanh mức $9.4.

Ngân hàng của bạn đang sử dụng tiền của bạn. Bạn chỉ nhận được phần thừa. Xem video miễn phí của chúng tôi về cách tự làm ngân hàng của chính mình