Mensagem da Gate News, 26 de abril — O Scallop Protocol, uma plataforma de concessão de empréstimos na blockchain Sui, sofreu um exploit de flash loan que visou um contrato lateral descontinuado ligado ao seu pool de recompensas de sSUI, resultando numa perda de aproximadamente $142,000 (150,000 SUI). O ataque explorou a manipulação do feed de preços do oráculo para reduzir artificialmente as taxas de câmbio SUI/USDC e contrair ativos a preços distorcidos, com o atacante a reembolsar o flash loan na mesma transação e a embolsar a diferença.
O problema central resultou de um contrato V2 descontinuado, implementado em novembro de 2023, que permaneceu chamável on-chain. Neste contrato desatualizado, uma variável crítica chamada “last_index” nunca foi inicializada quando foram criadas novas contas. Esta falha permitiu ao atacante reclamar recompensas como se tivesse estado a fazer staking desde o início do pool. Como o índice de recompensas cresceu para 1,19 mil milhões ao longo de 20 meses, o atacante fez staking de 136.000 sSUI mas recebeu crédito por 162 biliões de pontos. Como o pool de recompensas operava a uma taxa de câmbio 1:1, estes pontos foram convertidos diretamente em recompensas no valor de 162.000 SUI. O pool continha apenas 150.000 SUI, e todas as verbas foram drenadas. Os dados on-chain mostram que os fundos roubados foram rapidamente encaminhados através de um serviço de mistura, complicando os esforços de recuperação.
A equipa do Scallop respondeu ao pausar temporariamente as operações antes de descongelar os contratos principais e retomar todas as operações. O protocolo confirmou que o exploit estava isolado ao contrato de recompensas descontinuado e não afetou o protocolo principal nem os depósitos dos utilizadores, com todas as verbas a permanecerem seguras. O atacante contactou posteriormente a equipa, oferecendo devolver 80% das verbas roubadas em troca de uma recompensa tipo white-hat, e o incidente está agora a ser investigado. A equipa irá rever como é que a falha escapou à deteção durante auditorias anteriores por empresas incluindo OtherSec e MoveBit.
O preço da SUI manteve-se resiliente após o exploit, subindo aproximadamente 2% nas 24 horas seguintes ao ataque e a negociar a $0,94, com um volume diário de negociação de cerca de $187 milhões. O incidente reflete uma tendência mais ampla em abril de 2026, em que grandes exploits em DeFi visaram contratos descontinuados e camadas de infraestrutura em vez da lógica do protocolo principal, com perdas cumulativas a exceder $600 milhões em 12 grandes incidentes durante o mês.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O contrato V2 de Scallop em estado de abandono foi explorado; após serem roubadas 150.000 unidades de SUI, anuncia o reembolso integral
A plataforma de empréstimos descentralizados da Sui Network, Scallop, a 26 de abril (domingo) divulgou um comunicado oficial através da plataforma X, confirmando que foi alvo de um ataque explorando uma vulnerabilidade. O atacante retirou cerca de 150.000 SUI de um contrato de recompensas abandonado associado ao sSUI spool. Segundo a declaração oficial, o fundo central de liquidez e os depósitos dos utilizadores não foram afetados; o protocolo já foi restaurado para permitir depósitos e levantamentos; e foi confirmado que todas as perdas serão integralmente indemnizadas com fundos da empresa.
MarketWhisper42m atrás
Condenado a 70 meses por roubo e branqueamento de cripto $263M aos 22 anos
## Sentencing and Charges
O residente da Califórnia Evan Tangeman, 22, foi condenado na sexta-feira a 70 meses de prisão federal pela sua participação na lavagem de receitas provenientes de uma rede de roubo de criptomoedas multiestatal que roubou cerca de $263 milhões em activos digitais a vítimas, segundo o Departamento dos EUA de Ju
CryptoFrontier5h atrás
Litecoin sofre profunda reorganização da cadeia após exploração zero-day na camada de privacidade do MWEB
Mensagem do Gate News, 26 de abril — A Litecoin passou por uma profunda reorganização da cadeia na tarde de sábado, depois de os atacantes terem explorado uma vulnerabilidade zero-day na camada de privacidade do MimbleWimble Extension Block (MWEB), de acordo
GateNews5h atrás
Endereço Ligado a Avi Eisenberg Mostra Nova Atividade On-Chain, Elevando Preocupações de Segurança
Mensagem de Gate News, 26 de abril — A plataforma de análise de blockchain Arkham identificou atividade on-chain renovada a partir de um endereço considerado estar ligado a Avi Eisenberg, o atacante que obteve aproximadamente $110 milhões com o exploit dos Mango Markets de 2022. Eisenberg foi anteriormente condenado a
GateNews7h atrás
A ponte DeFi de empréstimos na cadeia Sui, o protocolo Scallop, foi comprometida; uma vulnerabilidade no contrato antigo levou ao roubo de 150 000 SUI
A Scallop na cadeia Sui foi atacada; contratos laterais envolveram-se e a pool de recompensas de sSUI foi utilizada. Cerca de 150.000 moedas SUI foram roubadas; o contrato principal é seguro, e os depósitos e levantamentos já foram restaurados. O comunicado oficial limita-se aos contratos de recompensas que foram descontinuados; os fundos dos utilizadores não foram afetados. O antigo programador da NEAR, Vadim, indicou que a origem da falha esteve num pacote V2 antigo, de há 17 meses, e que não foi inicializado o last_index, levando à acumulação de recompensas desde 2023; a correção tem de ser feita através da adição de um campo de versão ao objecto partilhado e do reforço das verificações de versão, para evitar riscos causados por pacotes desatualizados.
ChainNewsAbmedia8h atrás
A Scallop descobre uma vulnerabilidade no fundo de recompensas de sSUI, sofre uma perda de 150K SUI, mas promete reembolso total
Mensagem do Gate News, 26 de abril — A Scallop, um protocolo de empréstimos no ecossistema Sui, anunciou a descoberta de uma vulnerabilidade num contrato auxiliar associado ao seu fundo de recompensas sSUI, resultando numa perda de aproximadamente 150.000 SUI. O contrato afetado foi congelado, e a Scallop confirmou
GateNews12h atrás
