El protocolo Scallop fue víctima de una vulnerabilidad de préstamos flash el domingo. Según los informes, el atacante sustrajo alrededor de $142,000 (150,000 SUI) en lo que parece ser un ataque de manipulación de oráculos altamente dirigido. Este ataque no afectó lostraccentrales del protocolo, pero expuso una falla de diseño más profunda.
Según se informa, un atacante explotó untracsecundario obsoleto vinculado al fondo de recompensas sSUI de Scallop. Su equipo insiste en que el protocolo principal se mantenga intacto y que todos los depósitos de los usuarios estén seguros. Sin embargo, la pérdida se limita exclusivamente a esa parte aislada.
¿Código antiguo o fallo de Oracle?
Los analistas sugieren que el problema principal radicaba en la manipulación de los flujos de precios personalizados de Scallop. Esto permitió al atacante deprimir artificialmente las tasas SUI/USDC y obtener préstamos a esos precios distorsionados. Posteriormente, reembolsó el préstamo flash en la misma transacción. Al final, el sospechoso se quedó con la diferencia.
Esto sigue un patrón de ataque DeFi conocido; sin embargo, la ejecución en este caso fue inusualmente precisa. El atacante no atacó el código activo ni las rutas estándar del SDK. Interactuó con untracV2 antiguo de noviembre de 2023. Esta era una versión que se había dejado pero que seguía siendo invocable en la cadena. Sui mantiene todas las versiones detracdesplegadas inmutables y accesibles. Por eso, este paquete obsoleto se convirtió en una superficie de ataque oculta.
El precio de Sui no se ha visto afectado tras el incidente. Ha subido casi un 2 % en las últimas 24 horas. Al cierre de esta edición, Sui cotiza a 0,94 dólares. Su volumen de negociación en las últimas 24 horas ronda los 187 millones de dólares.
Un experto mencionó en una publicación que la vulnerabilidad era sutil pero grave. En el contrato obsoleto trac la variable clave "last_index" nunca se inicializaba al crear una nueva cuenta. Esto permitía al atacante reclamar recompensas como si hubiera estado participando en el staking desde el inicio del pool.
Dado que el índice de recompensas había aumentado con el tiempo, el atacante logró atribuirse la totalidad del fondo de recompensas en una sola transacción. Mencionó que el índice Spool creció hasta alcanzar los 1190 millones en 20 meses.
El atacante apostó 136.000 sSUI y recibió 162 billones de puntos. Sin embargo, el fondo de recompensas tenía un tipo de cambio 1:1 (tanto el numerador como el denominador eran iguales a 1), por lo que 162 billones de puntos se convirtieron directamente en 162.000 SUI en recompensas. El fondo solo contenía 150.000 SUI y todos fueron agotados.
Los datos en la cadena de bloques muestran que los fondos robados fueron rápidamente transferidos a través de un servicio de mezcla, similar a Tornado Cash en Sui. Esto dificulta aún más su recuperación.
Scallop vuelve a estar en línea tras el hackeo
El equipo de Scallop respondió suspendiendo temporalmente las operaciones. Posteriormente, informó que habían desbloqueado lostracprincipales y que todas las operaciones se habían reanudado. Una publicación en X destacó que el problema no estaba relacionado con el protocolo principal y que se limitaba a untracde recompensas obsoleto. Finalmente, los depósitos de tser no se vieron afectados y todos los fondos permanecen seguros. Los retiros y depósitos ahora funcionan con normalidad.
🚨 Scallop sufre una vulnerabilidad en préstamos flash en Sui y pierde 142.000 dólares en un ataque de manipulación de oráculos
DETALLES 👇
¿QUÉ PASÓ?
El 26 de abril de 2026, el protocolo de préstamos Scallop sufrió una vulnerabilidad de préstamo flash que afectaba a untracsecundario obsoleto relacionado con su fondo de recompensas spool de sSUI
— Sophia Hodlberg (@sophiaHodlberg) 26 de abril de 2026
Según los informes, el atacante contactó al equipo y ofreció devolver el 80% de los fondos a cambio de una recompensa por su detección. Eldent está siendo investigado. El equipo verificará cómo la vulnerabilidad pasó las auditorías previas realizadas por empresas como OtterSec y MoveBit.
Cryptopolitan Se informó que muchos de los incidentes más graves de abril de 2026 dent se originaron en la lógica central del protocolo. Surgieron de contratos antiguos trac adaptadores o capas de infraestructura que siguen siendo accesibles pero que se pasan por alto. Las pérdidas acumuladas superaron los 750 millones de dólares a mediados de abril. Solo en abril de 2026 se robaron más de 600 millones de dólares en 12 incidentes dent .
Kelp DAO y Drift Protocol, en conjunto, representan aproximadamente el 95% de las pérdidas de abril. El ataque a Kelp resultó en una deuda incobrable de 177 millones de dólares en Aave. Mientras tanto, el Consejo de Seguridad de Arbitrum logró congelar 30.766 ETH (con un valor aproximado de 71 millones de dólares) de los fondos robados.
Hyperliquid sigue siendo el token más importante en la categoría DeFi . El precio de HYPE ha subido un 10 % en los últimos 30 días y, al momento de la publicación, cotiza a 41,95 dólares. Chainlink ocupa el segundo lugar, con un precio de LINK cercano a los 9,4 dólares.
