O Scallop Protocol foi alvo de um ataque de empréstimo relâmpago no domingo. O atacante teria drenado cerca de US$ 142.000 (150.000 SUI) no que parece ser um ataque de manipulação de oráculo altamente direcionado. Este ataque não afetou ostracprincipais do protocolo, mas expôs uma falha de design mais profunda.
Um atacante teria explorado umtraclateral obsoleto vinculado ao pool de recompensas sSUI da Scallop. A equipe garante que o protocolo principal permanece intacto e que todos os depósitos dos usuários estão seguros. No entanto, a perda ficou totalmente restrita a essa parte isolada.
Código antigo ou falha do Oracle?
Analistas sugerem que o problema central foi a manipulação dos feeds de preços do oráculo personalizado da Scallop. Isso permitiu que o atacante deprimisse artificialmente as taxas SUI/USDC e tomasse empréstimos a esses preços distorcidos. Em seguida, ele quitou o empréstimo relâmpago na mesma transação. No final, o suspeito ficou com a diferença.
Isso segue um padrão de ataque DeFi familiar; no entanto, a execução neste caso foi excepcionalmente precisa. O atacante não teve como alvo o código ativo ou as rotas padrão do SDK. Ele interagiu com umtracV2 antigo, de novembro de 2023. Essa era uma versão que havia sido deixada de lado, mas que permanecia acessível na blockchain. A Sui mantém todas as versões detracimplantadas imutáveis e acessíveis. É por isso que esse pacote desatualizado se tornou uma superfície de ataque oculta.
O preço do Sui não sofreu impacto após a exploração. Subiu quase 2% nas últimas 24 horas. No momento da publicação desta notícia, o Sui está sendo negociado a US$ 0,94. Seu volume de negociação nas últimas 24 horas gira em torno de US$ 187 milhões.
Um especialista mencionou em uma publicação que a falha em si era sutil, mas grave. No contrato obsoleto trac uma variável chave, "last_index", nunca era inicializada quando uma nova conta era criada. Isso permitia que o atacante reivindicasse recompensas como se estivesse participando do pool desde o início.
Com o índice de recompensas tendo crescido ao longo do tempo, o atacante conseguiu se apropriar de todo o montante total de recompensas em uma única transação. Ele mencionou que o índice Spool cresceu para 1,19 bilhão em 20 meses.
O atacante fez staking de 136 mil sSUI e recebeu crédito por 162 trilhões de pontos. No entanto, o pool de recompensas operava com uma taxa de câmbio de 1:1 (numerador e denominador iguais a 1), então 162 trilhões de pontos foram convertidos diretamente em 162 mil SUI em recompensas. O pool continha apenas 150 mil SUI e todos foram esgotados.
Os dados on-chain mostram que os fundos roubados foram rapidamente encaminhados por meio de um serviço de mistura, semelhante ao Tornado Cash na Sui. Isso torna a recuperação ainda mais difícil.
Scallop volta a funcionar após ataque hacker
A equipe da Scallop respondeu pausando temporariamente as operações. Em seguida, informou que descongelou ostracprincipais e que todas as operações foram retomadas. Uma publicação no fórum X destacou que o problema não estava relacionado ao protocolo principal e se restringia a umtracde recompensas obsoleto. No fim, os depósitos dos usuários não foram afetados e todos os fundos permanecem seguros. Os saques e depósitos agora estão funcionando normalmente.
🚨 Scallop é alvo de exploração de empréstimo relâmpago na Sui e perde US$ 142.000 em ataque de manipulação de oráculo
DETALHES 👇
O QUE ACONTECEU?
Em 26 de abril de 2026, o protocolo de empréstimo Scallop sofreu uma exploração de empréstimo relâmpago visando umtraclateral obsoleto relacionado ao seu pool de recompensas sSUI
— Sophia Hodlberg (@sophiaHodlberg) 26 de abril de 2026
O atacante teria entrado em contato com a equipe e oferecido devolver 80% dos fundos em troca de uma recompensa por segurança. Odent está sendo investigado. A equipe verificará como a falha passou por auditorias anteriores realizadas por empresas como OtterSec e MoveBit.
Cryptopolitan Relataram dent de abril de 2026 não se originaram da lógica central do protocolo. Eles emergiram de contratos antigos trac adaptadores ou camadas de infraestrutura que permanecem acessíveis, mas negligenciadas. As perdas acumuladas ultrapassaram US$ 750 milhões em meados de abril. Somente em abril de 2026, foram contabilizados mais de US$ 600 milhões em fundos roubados em 12 incidentes dent .
A Kelp DAO e o Drift Protocol, juntos, foram responsáveis por aproximadamente 95% das perdas de abril. O ataque à Kelp resultou em US$ 177 milhões em dívidas incobráveis na Aave. Enquanto isso, o Conselho de Segurança da Arbitrum conseguiu congelar 30.766 ETH (aproximadamente US$ 71 milhões) dos fundos roubados.
Hyperliquid continua sendo o maior token da categoria DeFi . O preço do HYPE subiu 10% nos últimos 30 dias. No momento da publicação, está cotado a US$ 41,95. Chainlink ocupa a segunda posição. O LINK estava cotado em torno de US$ 9,4.
