最近Scallop的亏损事件值得关注。Sui最大的借贷协议在4月26日遭受攻击，损失约14万美元。乍看之下金额不大，但背后反映的问题远比数字本身更值得警惕。

这次攻击的切入点很有意思——不是从Scallop的核心借贷系统入手，而是从一个早已废弃的奖励合约找到了突破口。这就像一栋房子的正门防守再严密，但后院的旧门却没人打理。攻击者就是通过这扇被遗忘的旧门进来的。

有意思的是，Scallop在2025年2月才刚完成由Sui基金会主导的全面审计。但即便如此，这个弃用合约仍然成了薄弱环节。有分析师指出，通过审计并不等于安全，Kelp DAO就是典型例子——经过两次独立审计后仍然损失了2.92亿美元。

Scallop团队的应对还不错，迅速隔离了漏洞、暂停了相关合约，用户资金没有受到影响。但这个事件暴露了一个日益普遍的问题：Sui生态中越来越多的旧合约被当作攻击媒介。

更令人担忧的是4月份的整体局势。这个月DeFi领域记录了13起安全事件，累计亏损超过6.06亿美元，成为继某大型交易所事件以来最惨重的月份。Sui网络尤其受创——Cetus在2025年5月损失2.23亿美元，Nemo在9月损失240万美元，Volo在4月22日损失350万美元。这些事件密集发生，说明不是个别漏洞，而是系统性的挑战。

怎么降低风险呢？首先别用那些已经停用的旧合约。其次定期提取奖励，别让它们闲置。更重要的是分散资金，不要把鸡蛋都放在一个篮子里。进场前也要关注官方公告。

从更大的角度看，审计流程需要强化，特别是对弃用合约的审查。4月这一系列事件可能会迫使各个协议重新审视合约生命周期管理。Scallop的案例给了整个行业一个提醒。