Scallop DeFi Exploit Phơi Bày Rủi Ro Hợp Đồng Lỗi Thời Trong Chuỗi Tổn Thất 606 Triệu USD Của Tháng 4/2026

TLDR:

• Khoản lỗ $140K của Scallop đến từ một hợp đồng phần thưởng đã ngừng sử dụng, không phải từ cơ sở hạ tầng giao thức cho vay cốt lõi của nó.
• Tháng 4/2026 đã ghi nhận 13 vụ khai thác DeFi, đẩy tổng thiệt hại toàn ngành vượt $606M, tháng tệ nhất kể từ Bybit.
• Scallop đã vượt qua kiểm toán đầy đủ của Sui Foundation vào tháng 2/2025, nhưng hợp đồng đã ngừng sử dụng vẫn là một rủi ro tiềm ẩn.
• Các chuyên gia khuyến nghị phân tán tài sản, tránh các hợp đồng cũ và rút phần thưởng thường xuyên để giảm thiểu rủi ro.

Scallop, giao thức cho vay lớn nhất trên Sui, đã bị khai thác vào ngày 26/4/2026, dẫn đến thiệt hại khoảng $140,000.

Cuộc tấn công nhắm vào một hợp đồng phần thưởng đã ngừng sử dụng thay vì bản thân giao thức cốt lõi. Sau sự cố, nhóm Scallop đã đóng băng các hợp đồng bị ảnh hưởng, xác định lỗ hổng và khôi phục hoạt động.

Tiền gửi của người dùng không bị ảnh hưởng trong suốt sự cố. Sự kiện này bổ sung vào danh sách ngày càng dài các vụ khai thác DeFi chỉ riêng trong tháng 4/2026.

Hợp đồng đã ngừng sử dụng trở thành điểm xâm nhập của kẻ tấn công

Vụ khai thác Scallop không xâm phạm cơ sở hạ tầng chính của giao thức. Thay vào đó, kẻ tấn công tìm thấy lỗ hổng trong một hợp đồng phần thưởng cũ, không còn được sử dụng.

Sự phân biệt này rất quan trọng, vì nó cho thấy mã code cũ có thể trở thành gánh nặng theo thời gian. Các giao thức thường ngừng sử dụng một số thành phần mà không loại bỏ hoàn toàn chúng khỏi mạng lưới.

Scallop đã hoàn thành cuộc kiểm toán đầy đủ do Sui Foundation thực hiện vào tháng 2/2025. Dù vậy, hợp đồng đã ngừng sử dụng vẫn là một mắt xích yếu.

Nhà phân tích tiền mã hoá Crypto Patel đã lưu ý trên X rằng "đã kiểm toán không có nghĩa là an toàn," chỉ ra Scallop và Kelp DAO làm ví dụ. Kelp DAO mất $292 triệu dù đã vượt qua hai cuộc kiểm toán riêng biệt trước khi bị tấn công.

Nhóm Scallop phản hồi nhanh chóng bằng cách cô lập lỗi và tạm dừng các hợp đồng liên quan. Hoạt động được khôi phục ngay sau đó, với nhóm xác nhận không có quỹ người dùng nào gặp rủi ro.

Phản ứng nhanh chóng đã giúp kiểm soát thiệt hại chỉ ở thành phần đã ngừng sử dụng. Tuy nhiên, sự cố đã thu hút sự chú ý về việc các hợp đồng cũ ngày càng được sử dụng làm vectơ tấn công.

Mô hình này đã trở nên phổ biến hơn trong hệ sinh thái Sui trong những tháng gần đây. Các nhà phát triển và nhà nghiên cứu bảo mật đã bắt đầu gắn cờ các hợp đồng không sử dụng như một mối lo ngại ngày càng tăng.

Các giao thức để lại các thành phần đã ngừng sử dụng mà không vô hiệu hóa đúng cách phải đối mặt với rủi ro gia tăng. Trường hợp Scallop là một tham chiếu thực tế cho cuộc thảo luận đang diễn ra đó.

Tháng 4/2026 ghi nhận tháng tệ nhất cho thiệt hại DeFi kể từ Bybit

Tháng 4/2026 đã chứng tỏ là một tháng khó khăn cho lĩnh vực DeFi rộng lớn hơn. Thiệt hại toàn ngành đã vượt $606 triệu, khiến đây là tháng tệ nhất kể từ sự cố Bybit.

Vụ khai thác Scallop là vụ tấn công DeFi thứ 13 được ghi nhận trong tháng này. Tần suất đó chỉ ra một thách thức mang tính hệ thống mà các nền tảng tài chính phi tập trung đang phải đối mặt.

Mạng lưới Sui, đặc biệt, đã chứng kiến nhiều sự cố lặp lại trong năm qua. Cetus DEX mất $223 triệu vào tháng 5/2025, tiếp theo là Nemo Protocol mất $2,4 triệu vào tháng 9/2025.

Volo Protocol bị tấn công $3,5 triệu vào ngày 22/4/2026, chỉ vài ngày trước khi Scallop bị tấn công. Những sự cố này phản ánh mô hình lỗ hổng lặp đi lặp lại trên các giao thức dựa trên Sui.

Quản lý rủi ro đã trở thành chủ đề cấp bách trong giới tham gia DeFi. Crypto Patel khuyến nghị tránh các hợp đồng đã ngừng sử dụng và rút phần thưởng thường xuyên thay vì để chúng nhàn rỗi.

Phân tán tài sản trên nhiều giao thức thay vì tập trung vào một nền tảng cũng giúp giảm thiểu rủi ro. Theo dõi các thông báo chính thức của giao thức trước khi thực hiện gửi tiền bổ sung thêm một lớp bảo vệ.

Cộng đồng DeFi rộng lớn hơn tiếp tục xem xét cách các quy trình kiểm toán có thể được củng cố. Vượt qua kiểm toán không đảm bảo một giao thức không có mã có thể bị khai thác, đặc biệt là trong các thành phần cũ.

Các đánh giá bảo mật liên tục bao gồm các hợp đồng đã ngừng sử dụng đang trở thành thực hành được khuyến nghị. Các sự kiện của tháng 4/2026 có thể định hình cách các giao thức tiếp cận quản lý vòng đời hợp đồng trong tương lai.

Bài viết Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak xuất hiện đầu tiên trên Blockonomi.