Scallop, società con sede nello stato di Sui, è stata colpita da un attacco di prestiti flash, con una perdita di 142.000 dollari

Domenica, Scallop Protocol è stato colpito da una vulnerabilità di tipo flash loan. L'attaccante avrebbe sottratto circa 142.000 dollari (150.000 SUI) in quello che sembra essere un attacco mirato di manipolazione dell'oracolo. Questo attacco non ha intaccato itracprincipali del protocollo, ma ha messo in luce una falla di progettazione più profonda.

Secondo quanto riportato, un hacker avrebbe sfruttato untraclaterale obsoleto legato al pool di ricompense sSUI di Scallop. Il team di Scallop raccomanda di mantenere intatto il protocollo principale e di assicurare la sicurezza di tutti i depositi degli utenti. Tuttavia, la perdita è circoscritta a quella specifica parte del sistema.

Codice obsoleto o difetto di Oracle?

Gli analisti suggeriscono che il problema principale risiedesse nella manipolazione dei feed di prezzo personalizzati dell'oracolo di Scallop. Ciò ha permesso all'attaccante di abbassare artificialmente i tassi SUI/USDC e di prendere in prestito asset a quei prezzi distorti. Ha poi rimborsato il prestito flash con la stessa transazione. Alla fine, il sospettato si è appropriato della differenza.

Questo attacco segue uno schema tipico DeFi ; tuttavia, l'esecuzione in questo caso è stata insolitamente precisa. L'attaccante non ha preso di mira il codice attivo o le route standard dell'SDK. Ha interagito con una versione precedente deltrac, la V2, risalente a novembre 2023. Si trattava di una versione che era stata lasciata attiva ma che rimaneva comunque richiamabile on-chain. Sui mantiene immutabili e accessibili tutte le versioni deitracdistribuiti. Ecco perché questo pacchetto obsoleto è diventato una superficie di attacco nascosta.

Il prezzo di Sui non ha subito cali in seguito all'attacco informatico. Nelle ultime 24 ore ha registrato un aumento di quasi il 2%. Al momento della stesura di questo articolo, Sui viene scambiato a 0,94 dollari. Il volume di scambi nelle ultime 24 ore si aggira intorno ai 187 milioni di dollari.

Un esperto, in un post, ha affermato che la falla era sottile ma grave. Nel contratto obsoletotracuna variabile chiave "last_index" non veniva mai inizializzata alla creazione di un nuovo account. Ciò consentiva all'attaccante di reclamare le ricompense come se avesse partecipato allo staking fin dall'inizio del pool.

Poiché l'indice delle ricompense è cresciuto nel tempo, l'attaccante è riuscito ad accreditarsi l'intero montepremi in un'unica transazione. Ha affermato che l'indice Spool è cresciuto fino a 1,19 miliardi in 20 mesi. 

L'attaccante ha messo in gioco 136.000 sSUI e gli sono stati accreditati 162 trilioni di punti. Tuttavia, il pool di ricompense aveva un tasso di cambio 1:1 (numeratore e denominatore entrambi = 1), quindi 162 trilioni di punti si convertivano direttamente in ricompense per un valore di 162.000 SUI. Il pool conteneva solo 150.000 SUI e sono stati tutti prelevati.

I dati on-chain mostrano che i fondi rubati sono stati rapidamente trasferiti tramite un servizio di mixing, simile a Tornado Cash su Sui. Ciò rende il recupero ancora più difficile.

Scallope torna online dopo l'attacco hacker

Il team di Scallop ha risposto sospendendo temporaneamente le operazioni. Successivamente ha comunicato di aver sbloccato itracprincipali e che tutte le operazioni sono riprese. Un post su X ha evidenziato che il problema non era correlato al protocollo principale, ma era circoscritto a untracdi ricompensa obsoleto. In definitiva, i depositi dei clienti non sono stati interessati e tutti i fondi rimangono al sicuro. Prelievi e depositi ora funzionano normalmente.

🚨 Scallop colpita da una vulnerabilità di flash loan su Sui, perde 142.000 dollari a causa di un attacco di manipolazione dell'oracolo

DETTAGLI 👇

QUELLO CHE È SUCCESSO?

Il 26 aprile 2026, il protocollo di prestito Scallop ha subito un exploit flash loan che prendeva di mira untraclaterale obsoleto correlato al suo pool di ricompense spool sSUI

>… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26 aprile 2026

Secondo quanto riferito, l'attaccante ha contattato il team offrendosi di restituire l'80% dei fondi in cambio di una ricompensa per la segnalazione di vulnerabilità. L'dent è ora oggetto di indagine. Il team verificherà come la falla abbia potuto superare i precedenti controlli di sicurezza effettuati da aziende come OtterSec e MoveBit.

Secondo quanto riportato Cryptopolitan , molti dei principali dell'aprile 2026dentnon derivavano dalla logica principale del protocollo. Sono emersi da vecchi contrattitracadattatori o livelli infrastrutturali che rimangono accessibili ma trascurati. Le perdite cumulative hanno superato i 750 milioni di dollari a metà aprile. Solo nell'aprile 2026 si sono registrati oltre 600 milioni di dollari di fondi rubati in 12 incidentident.

Kelp DAO e Drift Protocol, insieme, sono responsabili di circa il 95% delle perdite di aprile. L'attacco a Kelp ha causato un debito inesigibile di 177 milioni di dollari per Aave. Nel frattempo, il Consiglio di Sicurezza di Arbitrum è riuscito a congelare 30.766 ETH (per un valore di circa 71 milioni di dollari) dei fondi rubati.

Hyperliquid rimane il token più importante nella categoria DeFi . Il prezzo di HYPE è aumentato del 10% negli ultimi 30 giorni. Al momento della stesura di questo articolo, viene scambiato a 41,95 dollari. Chainlink si posiziona al secondo posto, con un valore di circa 9,4 dollari.