Ataque relâmpago do Scallop drena $142K do contrato de recompensas Sui

A Scallop sofreu um ataque de empréstimo relâmpago no domingo após um explorador drenar cerca de $142.000 de um contrato de recompensas desatualizado vinculado ao seu pool sSUI

ConteúdoContrato Obsoleto Expondo Risco OcultoManipulação de Oráculo Apoia Estratégia de Empréstimo RelâmpagoScallop Retoma Operações Após RevisãoO incidente envolveu aproximadamente 150.000 SUI e pareceu depender de manipulação de oráculo e de uma variável de recompensa não inicializada. A Scallop afirmou que seu protocolo principal permaneceu seguro, os depósitos dos usuários continuaram seguros, e a perda permaneceu limitada a um contrato isolado.

Contrato Obsoleto Expondo Risco Oculto

O exploit da Scallop não visou seu sistema principal de empréstimos ou o código do protocolo atual. Em vez disso, o atacante interagiu com um contrato V2 mais antigo de novembro de 2023 que permaneceu acessível na cadeia, apesar de estar descontinuado. O design de pacote imutável do Sui permite que versões de contratos implantados permaneçam acessíveis, o que transformou código abandonado em uma superfície de ataque negligenciada.

Analistas de segurança disseram que o contrato continha uma falha sutil, mas grave. Quando uma nova conta era adicionada ao pool de recompensas, a variável chamada last_index não foi inicializada. Essa lacuna permitiu que o atacante parecesse elegível para recompensas acumuladas desde o início do pool.

O índice de recompensas cresceu acentuadamente ao longo de cerca de 20 meses. Após apostar 136.000 sSUI, o atacante recebeu crédito por 162 trilhões de pontos de recompensa. Como o pool usava uma taxa de troca de recompensa de um para um, esses pontos se converteram em cerca de 162.000 SUI. O pool continha apenas 150.000 SUI, então o atacante drenou o saldo disponível.

Manipulação de Oráculo Apoia Estratégia de Empréstimo Relâmpago

Analistas também apontaram para a manipulação das feeds de preço personalizadas do oráculo da Scallop. O atacante supostamente reduziu as taxas de SUI e USDC, tomou emprestado ativos a preços distorcidos e pagou o empréstimo relâmpago dentro da mesma transação. A diferença restante tornou-se o lucro do atacante.

A transação seguiu um padrão conhecido de exploração em DeFi, mas sua execução pareceu altamente direcionada. O atacante evitou rotas ativas e caminhos padrão de SDK, usando então código antigo que ainda tinha acesso na cadeia. Dados na cadeia posteriormente mostraram os fundos roubados sendo transferidos por um serviço de mistura baseado em Sui, o que pode dificultar os esforços de recuperação.

🚨 Scallop atingida por exploração de empréstimo relâmpago na Sui, perde $142.000 em ataque de manipulação de oráculo

DETALHES 👇

O QUE ACONTECEU?

Em 26 de abril de 2026, o protocolo de empréstimo da Scallop sofreu uma exploração de empréstimo relâmpago direcionada a um contrato lateral descontinuado relacionado ao seu pool de recompensas sSUI

… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26 de abril de 2026

Scallop Retoma Operações Após Revisão

A Scallop pausou as atividades após detectar o exploit, e depois descongelou seus contratos principais. A equipe afirmou que os depósitos e retiradas foram retomados normalmente e enfatizou que o problema não afetou os fundos dos usuários. O atacante supostamente entrou em contato com a Scallop e ofereceu devolver 80 por cento dos fundos em troca de uma recompensa de white-hat.

O caso acrescenta a um abril difícil para a segurança em DeFi. Vários incidentes importantes neste mês vieram de contratos antigos, adaptadores e camadas de infraestrutura, e não de sistemas centrais do protocolo. As perdas relatadas durante os incidentes de abril ultrapassaram $600 milhões até a metade do mês, com Kelp DAO e Drift Protocol contribuindo com a maior parte dos danos. O caso da Scallop mostra como código não utilizado ainda pode criar riscos ativos. Também destaca por que as equipes devem monitorar cada pacote implantado, não apenas a versão mais recente auditada.