Scallop漏洞利用通过已废弃合约流失15万枚SUI，隐藏漏洞潜伏17个月

Scallop 确认遭受针对性漏洞攻击：150,000 枚 SUI 代币从 sSUI 奖励池中被盗。

基于 Sui 的 DeFi 协议 Scallop 已确认遭受一起漏洞攻击，约 150,000 枚 SUI 从其 sSUI 奖励池中被盗，同时揭露了隐藏在一个已弃用智能合约中的陈年漏洞。

根据该协议的官方声明，他们注意到攻击者完全绕过了其活跃代码库和标准 SDK 接口。攻击者转而调用了一个已弃用的 V2 软件包版本，该版本可追溯至 2023 年 11 月，虽然仍在链上，但已闲置数月未被使用。

如此精准的操作在整个生态系统中引发了广泛关注。此次漏洞攻击要么意味着深度逆向工程，要么说明攻击者对合约架构极为熟悉。

尤为值得注意的是，由于生态系统已迁移至新版合约，该漏洞在近 17 个月内一直未被发现。Scallop 在 Twitter 上确认了此次事件，并表示由于已立即采取遏制措施，目前用户是安全的。

利用有缺陷的奖励计算机制

此次漏洞攻击揭示了已弃用合约奖励计算逻辑中的一个严重缺陷。该合约使用了一种称为"spool 索引"的机制，这是一个持续递增的数值，代表该池随时间积累的总奖励。

在正常运行中，每个用户账户在质押时会保存一个 last_index。奖励根据当前索引与存储值之间的差值计算，从而确保用户无法在开始质押之前获得奖励。

然而在旧版 V2 软件包中，新创建的 spool 账户从未被初始化；last_index 始终为零。这一错误提供了一个重大漏洞。

池中资产被耗尽导致积分大幅虚增

此漏洞的后果是即时且严重的。spool 索引在约 20 个月内已攀升至近 11.9 亿。攻击者以质押 136,000 枚 sSUI 为基础，获得了高达 162 万亿的虚增奖励积分。

更为雪上加霜的是，奖励池采用 1:1 的兑换比例，即每个奖励积分可直接兑换为 SUI 代币。这使攻击者能够顺利地将通过人为通胀获取的积分兑换成真实资产。

此次漏洞导致奖励池被清空，彼时池中约有 150,000 枚 SUI。尽管攻击者的合理化奖励远超池中余额，但实际上只提取了现有的流动性。

不可变合约创造了永久攻击面

此次事件揭示了 Sui 生态系统中已部署软件包所面临的系统性挑战之一：已部署的软件包是不可变的。一旦智能合约上链，便无法删除或修改。所有版本，无论新旧，都将永远可被调用。

尽管 Scallop 通过其 SDK 将用户引导至新的、更安全的软件包，但旧版 V2 合约仍可被访问。由于 Spooled 和 RewardsPool 对象是共享的，攻击者能够完全绕过更新后的逻辑，因为这些对象没有任何版本限制。

这类漏洞已被重新归类为"过时软件包"风险，揭示了许多 DeFi 系统中一个重要的盲点。由于共享对象中没有内置明确的版本检查，旧版合约可能成为永久性攻击向量。

更广泛的非核心漏洞模式正在蔓延

Scallop 漏洞事件并非孤立事件，而是整个四月份以来持续发生的更大趋势的一部分。近期多起攻击并非源自核心协议逻辑，而是来自外围或被忽视的方面。KelpDAO 的 RPC 基础设施漏洞、莱特币的隐私层（MWEB）漏洞以及 Aethir 适配器系统中的访问控制漏洞，仅是其中几个例子。

在所有案例中，攻击源头均在主合约之外，存在于其他次要或旧版模块中。这一模式表明对手已改变其战术。黑客将更少的时间花在经过大量审计的核心合约上，而将更多的时间用于攻击生态系统的边缘地带——这些地方的周边监控极为薄弱。这要求开发者和审计人员进行思维方式的转变。仅保障新部署的合约是不够的，所有历史合约、集成点和基础设施组件都应被视为活跃的威胁面。

Scallop 全额赔偿并恢复系统

Scallop 对此次漏洞事件采取了迅速果断的应对措施。受攻击合约在事后立即被冻结，这意味着此次漏洞攻击仅波及一个奖励池。

该团队确认核心合约仍然安全，没有任何用户存款受到损害。其他资金池保持完好，协议的主要功能在未受影响的部分解冻后即刻恢复正常。

值得注意的是，Scallop 已承诺对此次漏洞造成的损失进行 100% 赔偿。这一承诺体现了对修复意外安全漏洞的责任担当，并旨在重建用户信任。

存款和提款已恢复，表明系统稳定性已得到恢复。

DeFi 安全领域的启示

Scallop 事件为整个 DeFi 生态系统传递了一个重要教训。在不可变智能合约环境中运行时，安全绝非一劳永逸之事。

您部署的合约的任何版本都是实时系统的一部分。即便是非活跃代码，如果适当的安全保障措施容易被绕过，也可能在数月乃至数年后成为单点故障。

展望未来，生态系统需要采用更严格的版本控制实践，对旧版合约进行持续监控，并将审计范围扩大至涵盖所有历史部署。正如此次漏洞所揭示的，攻击者已准备好深入挖掘协议历史，以寻找可利用的弱点。

归根结底，去中心化金融的持久性，取决于各协议能否适应这不断变化的威胁格局。

免责声明：本文不构成交易或投资建议。在购买任何加密货币或投资任何服务之前，请务必自行研究。

关注我们的 Twitter @themerklehash ，随时掌握最新的加密货币、NFT、AI、网络安全及元宇宙资讯！

本文 Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months 最先发布于 The Merkle News。