Scallop漏洞利用透過已棄用合約耗盡15萬SUI，隱藏漏洞潛伏17個月

Scallop 確認遭針對性攻擊：150,000 枚 SUI 代幣從 sSUI 獎勵池中被盜。

基於 Sui 的 DeFi 協議 Scallop 已確認遭受攻擊，約 150,000 枚 SUI 從其 sSUI 獎勵池中被抽走，同時揭露了一個潛藏於已棄用智能合約中的舊漏洞。

根據協議官方聲明，他們發現攻擊者完全繞開了其現行代碼庫及標準 SDK 接口，轉而調用一個可追溯至 2023 年 11 月的已棄用 V2 套件版本，該版本雖仍在鏈上，但已閒置數月未被使用。

這種精準程度在整個生態系統中引發了廣泛關注。此次攻擊要麼意味著攻擊者進行了深度逆向工程，要麼說明某人對合約架構極為熟悉。

尤為值得注意的是，由於生態系統已遷移至新版合約，該漏洞長達近 17 個月未被發現。Scallop 在 Twitter 上確認了此事件，並表示由於已立即採取遏制措施，用戶目前處於安全狀態。

利用有缺陷的獎勵計算機制

此次攻擊揭示了已棄用合約中獎勵計算邏輯的嚴重缺陷。該合約使用所謂的「spool 索引」，這是一個持續遞增的數值，代表該池隨時間累積的總獎勵。

在正常運作中，每個用戶賬戶在質押時都會記錄一個 last_index。獎勵根據當前索引與存儲值之間的差值計算，以確保用戶在開始質押之前無法獲得獎勵。

然而在舊版 V2 套件中，新創建的 spool 賬戶從未被初始化，last_index 始終為零。這一錯誤提供了一個重大漏洞。

獎勵池被清空導致積分大幅虛增

這個漏洞的後果立竿見影且極為嚴重。在約 20 個月內，spool 索引已增加到近 11.9 億。攻擊者在質押 136,000 枚 sSUI 的情況下，獲得了高達 162 萬億的虛增獎勵積分。

雪上加霜的是，獎勵池採用 1:1 的兌換比率，使每個獎勵積分可直接兌換為 SUI 代幣。這讓攻擊者能夠將通過人為膨脹獲得的積分無縫兌換為真實資產。

此次攻擊導致獎勵池被清空，當時池中約有 150,000 枚 SUI。儘管攻擊者的合理化獎勵遠超池內餘額，但最終只提取了現有的流動性。

不可變合約形成永久攻擊面

此事件揭示了 Sui 生態系統中已部署套件存在的系統性挑戰：已部署的套件是不可變的。智能合約一旦上鏈，便無法被刪除或修改。所有版本，無論新舊，均永遠可被調用。

雖然 Scallop 通過 SDK 將用戶引導至新的、更安全的套件，但舊版 V2 合約仍然可以訪問。由於 Spooled 和 RewardsPool 對象是共享的，且對它們沒有版本限制，攻擊者得以完全繞過更新後的邏輯。

這類漏洞已被重新歸類為「過時套件」風險，揭示了許多 DeFi 系統的一個重要盲點。由於共享對象中未內置明確的版本檢查，遺留合約可能成為永久攻擊向量。

更廣泛的非核心漏洞模式正在蔓延

Scallop 攻擊事件並非孤立事件，而是整個四月持續發生的更大趨勢的一部分。近期多起攻擊並非源於核心協議邏輯，而是來自外圍或被忽視的環節。KelpDAO 的 RPC 基礎設施漏洞、Litecoin 的隱私層（MWEB）問題以及 Aethir 適配器系統中的訪問控制漏洞，都是其中的例子。

在所有案例中，攻擊來源都在主合約之外，存在於其他次要或遺留模塊中。這種模式表明攻擊者已改變戰術。黑客在受到大量審計的核心合約上花費的時間越來越少，而將更多時間用於攻擊生態系統邊緣那些監控極為薄弱的部分。這需要開發者和審計人員進行思維範式的轉變。僅確保新部署的安全性已不夠，所有歷史合約、集成點和基礎設施組件都應被視為活躍的威脅面。

Scallop 全額賠償並恢復系統

Scallop 以迅速果斷的方式應對此次攻擊。受攻擊的合約事後立即被凍結，這意味著只有一個獎勵池受到此次攻擊的影響。

該團隊確認核心合約仍然安全，用戶存款未受任何影響。其他資金池保持完好，協議的主要功能在未受影響的部分解凍後立即恢復運作。

值得注意的是，Scallop 已承諾對因此次攻擊造成的損失進行 100% 賠償。這一承諾展示了對修復意外安全漏洞的責任擔當，並旨在重建用戶信任。

存款和提款已恢復，表明系統穩定性已得到恢復。

DeFi 安全領域的啟示

Scallop 事件為整個 DeFi 生態系統傳遞了一個重要教訓。在不可變智能合約環境中運行時，安全從來都不是一勞永逸的事。

已部署合約的任何版本都是實時系統的一部分。即使是非活躍的代碼，如果適當的安全措施容易被繞過，也可能在數月或數年後成為單點故障。

展望未來，生態系統需要採用更嚴格的版本控制措施、對遺留合約進行持續監控，並擴大審計範圍以涵蓋所有先前的部署。正如此次攻擊所顯示的，攻擊者已準備好深入挖掘協議歷史，尋找可利用的弱點。

歸根結底，去中心化金融的持久性取決於協議能否適應這個不斷變化的威脅環境。

免責聲明：本文不構成交易或投資建議。在購買任何加密貨幣或投資任何服務之前，請務必自行做好研究。

關注我們的 Twitter @themerklehash，獲取最新的加密貨幣、NFT、AI、網絡安全和元宇宙資訊！

The post Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months appeared first on The Merkle News.