Sui Network 生态下的货币市场协议 Scallop 于周日遭遇攻击,攻击者利用协议 sSUI 质押池关联的已弃用奖励合约,盗取了约 150,000 枚 $SUI。
团队在事发后数分钟内冻结了受影响合约,并承诺将动用项目库资金全额赔付用户损失。核心功能在不到两小时内即恢复正常。
Sui 生态再现安全事件,外围合约受攻击 核心协议未受影响
Scallop 团队于 4 月 26 日 12:50(UTC)在 X 平台发布公告,披露此次安全事件。攻击者锁定了为 sSUI 质押池分发奖励的侧链合约,该质押池为 SUI 存款用户提供激励。
团队表示,受影响的合约已在第一时间被冻结,核心借贷池资金安全未受影响,其他 Scallop 市场的用户存款同样安全无虞。
两小时后,Scallop 通告核心合约已解冻,平台于 14:42(UTC)恢复提现及充值功能。
大多数 Sui 网络 用户并未受到本次攻击影响。
“Scallop 将承担全部用户损失,100%全额赔付。” 该货币市场协议在 公告中表示。
2023 年发布的遗留包成突破口
链上安全分析显示,攻击者利用的是一份早已弃用的 V2 质押池包。Scallop 曾于 2023 年 11 月上线该代码,距今已有 17 个月。在 Sui 网络上,已部署的包不可更改,若未做版本限制,历史版本依然能被调用。
漏洞核心为 last_index 计数器未初始化,该计数器本应统计 质押用户累计奖励。攻击者通过质押约 136,000 枚 sSUI 触发此漏洞。
由于计数器未正确校准,系统将攻击者的新头寸视作自 2023 年 8 月质押池启动至今持续存在。
质押池 20 个月间累计的索引值已增长至约 11.9 亿,这让攻击者兑换获得了约 162 万亿奖励积分,并以 1:1 兑换了 150,000 枚 $SUI 奖励资金。
链上地址 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL 可查到相关资金被转移的交易记录。
Sui DeFi 安全事件频发,均指向外围合约漏洞
近期,Sui 生态已多次出现类似攻击。本月初 Volo Protocol 也因外围合约漏洞损失约 350 万美元。每一次攻击的突破口都在于侧链合约,而非协议核心代码。
本次事件距离以太坊一周前发生的重大跨链桥安全事故仅隔数日。该事件导致平台生成了约2.92 亿美元未被资产支持的流动性再质押代币。需要注意的是,两起攻击均发生在周末时段,此时市场流动性不足,响应速度也相对滞后。
截至目前,Sui 基金会及 Mysten Labs尚未就相关事件发布任何公开声明。
不过对于 Scallop 协议而言,当前经济损失已得到有效控制。协议团队已经确认将全额承担本次损失,用户收益不会因此被稀释。
团队暂未发布完整的事件复盘报告。预计所有遗留合约包的全面审计报告公布后,将成为整个 Sui DeFi 生态后续应对措施制定的重要依据。
更值得关注的是,Sui 生态建设者如何在代码不可变的前提下应对被遗忘的潜在攻击面。
