Pesan Gate News, 26 April — Scallop Protocol, sebuah platform pinjaman di blockchain Sui, mengalami eksploit flash loan yang menargetkan kontrak sisi (side contract) yang sudah tidak digunakan (deprecated) dan terhubung dengan kumpulan imbalan sSUI miliknya, sehingga mengakibatkan kerugian sekitar $142,000 (150,000 SUI). Serangan tersebut mengeksploitasi manipulasi oracle price feed untuk secara artifisial menekan nilai tukar SUI/USDC dan meminjam aset pada harga yang terdistorsi, dengan penyerang membayar kembali flash loan dalam transaksi yang sama dan mengantongi selisihnya.
Masalah utamanya berasal dari kontrak V2 yang sudah tidak digunakan (deprecated) yang dideploy pada November 2023 namun tetap dapat dipanggil di rantai (on-chain). Di kontrak yang ketinggalan zaman ini, sebuah variabel kritis bernama “last_index” tidak pernah diinisialisasi saat akun baru dibuat. Kekurangan ini memungkinkan penyerang mengklaim imbalan seolah-olah mereka telah melakukan staking sejak awal kumpulan tersebut. Dengan indeks imbalan yang tumbuh menjadi 1,19 miliar selama 20 bulan, penyerang melakukan staking 136.000 sSUI namun menerima kredit untuk 162 triliun poin. Karena kumpulan imbalan beroperasi pada nilai tukar 1:1, poin tersebut dikonversi langsung menjadi 162.000 SUI senilai imbalan. Kumpulan tersebut hanya berisi 150.000 SUI, dan seluruh dana berhasil dikuras. Data on-chain menunjukkan dana yang dicuri segera dialirkan melalui layanan pencampur (mixing service), sehingga upaya pemulihan menjadi semakin rumit.
Tim Scallop merespons dengan menghentikan operasi sementara sebelum membekukan kembali kontrak-kontrak inti dan melanjutkan semua operasi. Protokol tersebut mengonfirmasi bahwa eksploit tersebut terisolasi pada kontrak imbalan yang sudah tidak digunakan (deprecated) dan tidak memengaruhi protokol inti atau setoran pengguna, dengan semua dana tetap aman. Penyerang kemudian menghubungi tim dengan menawarkan untuk mengembalikan 80% dari dana yang dicuri sebagai imbalan atas bounty white-hat, dan insiden ini kini sedang diselidiki. Tim akan meninjau bagaimana celah tersebut lolos deteksi pada audit sebelumnya oleh perusahaan termasuk OtherSec dan MoveBit.
Harga SUI tetap tangguh setelah eksploit, naik sekitar 2% dalam 24 jam setelah serangan dan diperdagangkan pada $0,94 dengan volume perdagangan harian sekitar $187 juta. Insiden ini mencerminkan tren yang lebih luas pada April 2026, di mana eksploit DeFi besar telah menargetkan kontrak dan lapisan infrastruktur yang sudah tidak digunakan (deprecated) alih-alih logika protokol inti, dengan kerugian kumulatif melebihi $600 juta di 12 insiden besar selama bulan tersebut.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Penipu dengan sandi Morse berhasil mengelabui AI agent! Peretas membujuk Grok dan BankrBot untuk melakukan transfer, berhasil mengantongi 170 ribu dolar AS aset kripto
Platform X mengungkap kerentanan AI agent: penyerang mendapatkan hak transfer dari dompet Grok melalui Bankr Club NFT, lalu menggunakan perintah sandi Morse untuk memaksa BankrBot memindahkan sekitar 300 juta DRB tanpa persetujuan manusia, dengan nilai sekitar 17,5 ribu dolar AS. Masalahnya ada pada arsitektur BankrBot yang tidak menganggap keluaran AI sebagai otorisasi; dana sudah dipulihkan, dan pihak terkait akan memperkuat perlindungan seperti kunci API dan daftar putih IP.
ChainNewsAbmedia23menit yang lalu
Aave Menantang $73M ETH Bekukan di Kasus Eksploit Kelp DAO
Aave LLC mengajukan permohonan darurat di pengadilan federal pada 1 Mei untuk mencabut pembekuan yang diperintahkan pengadilan dan memengaruhi sekitar $73 juta dalam ether yang terkait dengan eksploit Kelp DAO bulan lalu, menurut berkas tersebut. Permohonan ini menantang perintah penahanan yang mencegah Arbitrum DAO memindahkan pemulihan
CryptoFrontier1jam yang lalu
CEO Zondacrypto Menghilang dengan 4.500 Kunci Pribadi Bitcoin pada 5 Mei; CEO Saat Ini Melarikan Diri ke Israel
Menurut BlockBeats, pada 5 Mei, mantan CEO bursa kripto Polandia Zondacrypto menghilang pada 2022 dengan kunci privat untuk cold wallet yang berisi 4.500 BTC (saat ini senilai lebih dari $340 juta). CEO saat ini mengakui bahwa wallet tersebut kini tidak dapat diakses dan dilaporkan melarikan diri ke Israel.
GateNews2jam yang lalu
Payward Menuduh $25M Kecurangan Penahanan Kripto terhadap Etana
Payward, perusahaan induk bursa kripto Kraken, telah mengajukan gugatan yang menuduh adanya penipuan penitipan kripto senilai 25 juta dolar AS terhadap Etana dan CEO perusahaan tersebut, menurut pengaduan. Tuduhan tersebut berfokus pada klaim bahwa dana klien disalahgunakan, dicampur, dan disembunyikan sebagai bagian dari skema yang “mirip Ponzi”
CryptoFrontier4jam yang lalu
Bisq Protocol Diserang, Sekitar 11 BTC Dicuri Karena Tidak Ada Mekanisme Validasi
Menurut pernyataan resmi yang dilaporkan oleh ChainCatcher, protokol Bisq baru-baru ini diserang, mengakibatkan sekitar 11 BTC dicuri karena tidak adanya mekanisme validasi. Para penyerang memanfaatkan kerentanan miner fee negatif untuk memindahkan dana melalui transaksi multi-tanda tangan.
Bisq adalah
GateNews4jam yang lalu
Aave membantah mosi darurat 73 juta dolar AS ETH yang dibekukan: «Pencuri tidak memiliki apa yang dicurinya»
Aave mengajukan mosi darurat ke Pengadilan Distrik Selatan New York, meminta pencabutan pembekuan terhadap 30.766 ETH senilai sekitar 7,3 juta dolar AS. Inti argumennya: barang hasil kejahatan tetap milik pengguna asli, sehingga pencuri tidak dapat memperoleh kepemilikan; barang hasil kejahatan akan langsung kembali kepada korban ketika pengembalian dilakukan oleh komite keamanan Arbitrum; bukti terkait Grup Lazarus Korea Utara bersifat kabar burung, dan sidang diperkirakan digelar pada akhir Mei. Kasus ini akan memengaruhi tata kelola DeFi dan risiko kepemilikan aset di masa depan.
ChainNewsAbmedia4jam yang lalu
