Mensagem do Gate News, 26 de abril — O Scallop Protocol, uma plataforma de empréstimos na blockchain Sui, sofreu um exploit de flash loan mirando um contrato lateral descontinuado vinculado ao seu pool de recompensas de sSUI, resultando em uma perda de aproximadamente $142,000 (150,000 SUI). O ataque explorou a manipulação do feed de preços do oráculo para depreciar artificialmente as taxas de câmbio SUI/USDC e tomar ativos emprestados a preços distorcidos, com o atacante devolvendo o flash loan na mesma transação e ficando com a diferença.
O problema central decorreu de um contrato V2 descontinuado implantado em novembro de 2023 que permaneceu chamável na cadeia. Nesse contrato desatualizado, uma variável crítica chamada “last_index” nunca foi inicializada quando novas contas foram criadas. Essa falha permitiu que o atacante reivindicasse recompensas como se tivesse feito staking desde o início do pool. Como o índice de recompensas cresceu para 1,19 bilhão ao longo de 20 meses, o atacante fez staking de 136.000 sSUI, mas recebeu crédito por 162 trilhões de pontos. Como o pool de recompensas operava com uma taxa de câmbio de 1:1, esses pontos foram convertidos diretamente em 162.000 SUI em recompensas. O pool continha apenas 150.000 SUI e todos os fundos foram drenados. Os dados on-chain mostram que os fundos roubados foram rapidamente roteados por um serviço de mixing, complicando os esforços de recuperação.
A equipe do Scallop respondeu pausando temporariamente as operações antes de descongelar os contratos principais e retomar todas as atividades. O protocolo confirmou que o exploit foi isolado ao contrato de recompensas descontinuado e não afetou o protocolo principal nem os depósitos dos usuários, com todos os fundos permanecendo seguros. O atacante, em seguida, entrou em contato com a equipe oferecendo devolver 80% dos fundos roubados em troca de uma recompensa do tipo white-hat, e o incidente agora está sob investigação. A equipe vai revisar como a falha escapou da detecção durante auditorias anteriores feitas por empresas incluindo OtherSec e MoveBit.
O preço do SUI permaneceu resiliente após o exploit, subindo aproximadamente 2% nas 24 horas após o ataque e negociando a US$ 0,94, com um volume diário de negociação de cerca de $187 milhões. O incidente reflete uma tendência mais ampla em abril de 2026, em que grandes exploits de DeFi têm mirado contratos descontinuados e camadas de infraestrutura em vez da lógica do protocolo central, com perdas cumulativas acima de $600 milhões em 12 incidentes importantes durante o mês.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A disputa pela ascensão de detentores após a sentença por ataque da Coreia do Norte: US$ 71 milhões em ativos do Aave congelados, com base na lei de seguros antiterrorismo
Aumenta o ritmo do caso de ataque da Coreia do Norte; US$ 71 milhões em ativos do Aave congelados entram na terceira rodada. Os autores passaram a usar a lei TRIA para sustentar que o ETH é patrimônio estatal da Coreia do Norte, destacando que houve fraude, e não roubo, para contornar a defesa de que o ladrão não tem direito sobre o produto do crime, além de questionar o standing e a posição de governança do Aave. A DeFi United arrecadou mais de US$ 328 milhões; o fundo está suficiente para compensar os usuários afetados. O caso pode se tornar um precedente-chave para a jurisprudência de DeFi e para a governança de DAO.
ChainNewsAbmedia47m atrás
A “cripto baleia” processa a Coinbase, acusando que, após congelar um DAI roubado, a empresa recusou devolvê-lo
De acordo com a The Block em 6 de maio, um magnata anônimo de criptomoedas, conhecido apenas pelo pseudônimo “DB”, processou na segunda-feira a Coinbase e o suposto ladrão “John Doe”, alegando que a Coinbase, mesmo depois de apresentar documentos juramentados para comprovar que é a legítima proprietária, continua se recusando a devolver os fundos de DAI congelados relacionados ao caso de roubo de criptomoedas em 2024.
MarketWhisper2h atrás
Vítimas de terrorismo da Coreia do Norte entram com moção para confiscar $71M do hack na Aave, buscando reclassificar como fraude
Advogados das vítimas de três casos de terrorismo da Coreia do Norte protocolaram, na terça-feira, uma resposta de 30 páginas, reenquadrando o hack do Aave de 18 de abril como fraude em vez de roubo. A distinção tem relevância jurídica: caracterizar o incidente como fraude poderia conceder aos atacantes o direito legal sobre o valor emprestado
GateNews2h atrás
Kelp DAO abandona o LayerZero pela Chainlink CCIP após exploit de ponte de US$ 292 milhões
De acordo com a The Block, a Kelp DAO abandonou a LayerZero pelo Protocolo de Interoperabilidade entre Cadeias (CCIP) da Chainlink após o exploit de ponte de US$ 292 milhões ocorrido no mês passado. Um representante da Chainlink confirmou que a Kelp DAO é o primeiro grande protocolo a migrar para longe da LayerZero desde o ataque. Em
GateNews2h atrás
O cofundador da LayerZero refuta alegações do KelpDAO, citando uma mudança manual de configuração em 1º de abril de 2024
De acordo com Bryan Pellegrino, cofundador e CEO da LayerZero Labs, a maioria das alegações contra a KelpDAO não se sustenta. Em 6 de maio, Pellegrino afirmou que a Kelp inicialmente usou a configuração padrão de MultiDVN ou DeadDVN, mas a alterou manualmente para uma configuração 1/1 em 1º de abril de 2024, conforme on-chain
GateNews3h atrás
