A Sui Network协议 de empréstimo descentralizado Scallop em 26 de abril (domingo) publicou um comunicado oficial na plataforma X, confirmando que sofreu um ataque explorando uma vulnerabilidade. O atacante extraiu cerca de 150.000 SUI de um contrato de recompensas abandonado associado a sSUI spool. De acordo com a declaração oficial, o pool principal de capital e os depósitos dos usuários não foram afetados. A operação de saques e depósitos foi restaurada, e foi confirmado que todas as perdas serão integralmente compensadas com recursos da empresa.
Linha do tempo do evento e resposta oficial da Scallop
De acordo com o comunicado no X da Scallop (26 de abril às 12:50 UTC), o alvo do ataque foi o contrato de recompensas auxiliar do sSUI spool. Esse contrato constitui a camada de incentivos do protocolo para depositantes de SUI, e não a lógica central de empréstimo. A equipe da Scallop congelou o contrato afetado poucos minutos após o incidente; o contrato principal foi congelado e depois liberado em até duas horas, e saques e recargas foram retomados às 14:42 UTC.
Na declaração oficial, a Scallop afirmou: «A Scallop irá compensar integralmente 100% das perdas.»
Análise técnica da vulnerabilidade: contador não inicializado do pacote abandonado de 2023
(Fonte: Vadim)
De acordo com análises independentes na cadeia, o ponto de entrada do ataque foi o pacote abandonado V2 spool implantado pela Scallop em novembro de 2023, ocorrido mais de 17 meses antes deste ataque. Na arquitetura técnica da Sui Network, pacotes já implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas.
O atacante identificou um contador last_index não inicializado no pacote. Esse contador é usado para rastrear recompensas acumuladas dos depositantes. O atacante apostou cerca de 136.000 sSUI; o sistema tratou essa posição como se fosse uma posição existente desde o início do spool em agosto de 2023. Após cerca de 20 meses de acumulação exponencial, o índice do spool cresceu para cerca de 1,19 bilhão, permitindo que o atacante obtivesse cerca de 162 trilhões de pontos de recompensa, que foram trocados por 150.000 SUI na proporção 1:1.
O hash do registro de transação on-chain pode ser consultado: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registro de eventos recentes de vulnerabilidades na Sui DeFi
De acordo com reportes públicos, no início de abril de 2026, ocorreu um ataque semelhante envolvendo o Volo Protocol na Sui Network; o alvo também era um contrato auxiliar, e não a lógica central do protocolo, com perdas de cerca de US$ 3,5 milhões. Além disso, uma semana antes do ataque, ocorreu um incidente de ataque de ponte na rede Ethereum, em que cerca de US$ 292 milhões em tokens de liquidez não garantida re-depositados foram roubados.
Até o momento em que este relatório foi publicado, a Sui Foundation e a Mysten Labs não haviam feito declarações públicas sobre o caso da Scallop. De acordo com a explicação oficial da Scallop, o protocolo planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes; o cronograma da auditoria ainda está em definição.
Perguntas frequentes
Qual foi o momento em que ocorreu este ataque explorando a vulnerabilidade e qual foi o tamanho das perdas?
De acordo com o comunicado oficial no X da Scallop, o ataque ocorreu em 26 de abril de 2026 (domingo) às 12:50 UTC. O atacante extraiu cerca de 150.000 SUI do contrato de recompensas do sSUI spool abandonado. O pool principal de capital do empréstimo e os depósitos dos usuários em outros mercados não foram afetados.
Quais compromissos oficiais a Scallop assumiu em relação a este ataque?
De acordo com a declaração oficial da Scallop, o protocolo congelou os contratos afetados dentro de poucos minutos após o ataque e restaurou toda a funcionalidade às 14:42 UTC (cerca de duas horas após a publicação do comunicado). A Scallop confirmou que compensará integralmente todas as perdas com recursos da empresa, que os ganhos dos usuários não seriam afetados e que planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes.
Qual é a causa técnica fundamental desta vulnerabilidade e como ela se relaciona com a arquitetura técnica da Sui Network?
De acordo com análises independentes on-chain, a vulnerabilidade se originou de um contador last_index não inicializado em um pacote abandonado V2 spool implantado em novembro de 2023. Na Sui Network, pacotes implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas, permitindo que o atacante explorasse código abandonado de mais de 17 meses atrás para extrair 150.000 SUI.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
B.AI Atualiza a Infraestrutura, Lança Principais Recursos de Skills
Mensagem do Gate News, 27 de abril — A B.AI anunciou vários avanços de produtos e do ecossistema nesta semana. A página de pouso do BAIclaw recebeu uma reformulação completa de visual e de interação, com suporte multilíngue do site expandido para 10 idiomas, fortalecendo sua usabilidade global.
Na frente da infraestrutura
GateNews1h atrás
A JUST divulga resultados do 1T 2026: $60M em recompra de tokens, TVL do JustLend DAO atinge US$ 6,91B
Mensagem do Gate News, 27 de abril — A JUST divulgou seus resultados financeiros do 1T 2026, mostrando forte crescimento em métricas-chave. O projeto queimou 1,356 bilhão de tokens JST (13,70% da oferta total) por meio de recompras acumuladas no valor de US$ 60,03 milhões, gerando forte pressão deflacionária.
O JustLend DAO's t
GateNews1h atrás
Agentes de IA impulsionam a demanda por pagamentos em cripto, x402 processa 165M de transações
Mensagem do Gate News, 27 de abril — Jesse Pollak, executivo de uma grande CEX, argumentou que agentes autônomos de IA estão criando um novo "centro de demanda" para pagamentos em cripto, exigindo infraestrutura de pagamentos nativa de software. Em 20 de abril, foi anunciado que o ecossistema x402 processou mais de 165
GateNews2h atrás
Desenvolvedor Propõe Hard Fork do Bitcoin para o eCash com Distribuição 1:1, Dispara Debate Sobre Alocação de Endereço de Satoshi
Mensagem do Gate News, 27 de abril — O desenvolvedor Paul Sztorc propôs um hard fork do Bitcoin agendado para agosto de 2026 na altura do bloco 964.000 para criar uma nova blockchain chamada eCash, segundo a CoinDesk. O fork vai distribuir eCash aos usuários que detêm BTC na proporção de 1:1 e introduzir a arquitetura de sidechain de Drivechains
GateNews3h atrás
Western Union Remittance Confirms: USDPT Stablecoin Launch in May at Q1 Earnings Call
De acordo com o conteúdo da teleconferência de resultados do 1º trimestre da Western Union em 24 de abril, o presidente e CEO da Western Union, Devin McGranahan, confirmou que a stablecoin USDPT da empresa já entrou na fase final de preparação e está prevista para ser lançada em maio.
MarketWhisper4h atrás
孙宇晨称 TRON 为全球首个抗量子攻击网络,2026 年 Q3 主网上线
O fundador da TRON, Sun Yuchen, publicou no X em 26 de abril para anunciar que a TRON planeja ativar uma funcionalidade de proteção contra ataques quânticos na rede de testes no segundo trimestre, com a implantação da rede principal planejada para o terceiro trimestre. Sun Yuchen, na postagem, chamou este plano de atualização de “primeira rede global resistente a ataques quânticos”. Embora a ameaça quântica ainda esteja principalmente no campo teórico, o Ethereum, a Solana e outros já divulgaram planos de atualização ou cronogramas para criptografia pós-quântica (PQC).
MarketWhisper4h atrás
