A Sui Network协议 de empréstimo descentralizado Scallop em 26 de abril (domingo) publicou um comunicado oficial na plataforma X, confirmando que sofreu um ataque explorando uma vulnerabilidade. O atacante extraiu cerca de 150.000 SUI de um contrato de recompensas abandonado associado a sSUI spool. De acordo com a declaração oficial, o pool principal de capital e os depósitos dos usuários não foram afetados. A operação de saques e depósitos foi restaurada, e foi confirmado que todas as perdas serão integralmente compensadas com recursos da empresa.
Linha do tempo do evento e resposta oficial da Scallop
De acordo com o comunicado no X da Scallop (26 de abril às 12:50 UTC), o alvo do ataque foi o contrato de recompensas auxiliar do sSUI spool. Esse contrato constitui a camada de incentivos do protocolo para depositantes de SUI, e não a lógica central de empréstimo. A equipe da Scallop congelou o contrato afetado poucos minutos após o incidente; o contrato principal foi congelado e depois liberado em até duas horas, e saques e recargas foram retomados às 14:42 UTC.
Na declaração oficial, a Scallop afirmou: «A Scallop irá compensar integralmente 100% das perdas.»
Análise técnica da vulnerabilidade: contador não inicializado do pacote abandonado de 2023
(Fonte: Vadim)
De acordo com análises independentes na cadeia, o ponto de entrada do ataque foi o pacote abandonado V2 spool implantado pela Scallop em novembro de 2023, ocorrido mais de 17 meses antes deste ataque. Na arquitetura técnica da Sui Network, pacotes já implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas.
O atacante identificou um contador last_index não inicializado no pacote. Esse contador é usado para rastrear recompensas acumuladas dos depositantes. O atacante apostou cerca de 136.000 sSUI; o sistema tratou essa posição como se fosse uma posição existente desde o início do spool em agosto de 2023. Após cerca de 20 meses de acumulação exponencial, o índice do spool cresceu para cerca de 1,19 bilhão, permitindo que o atacante obtivesse cerca de 162 trilhões de pontos de recompensa, que foram trocados por 150.000 SUI na proporção 1:1.
O hash do registro de transação on-chain pode ser consultado: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registro de eventos recentes de vulnerabilidades na Sui DeFi
De acordo com reportes públicos, no início de abril de 2026, ocorreu um ataque semelhante envolvendo o Volo Protocol na Sui Network; o alvo também era um contrato auxiliar, e não a lógica central do protocolo, com perdas de cerca de US$ 3,5 milhões. Além disso, uma semana antes do ataque, ocorreu um incidente de ataque de ponte na rede Ethereum, em que cerca de US$ 292 milhões em tokens de liquidez não garantida re-depositados foram roubados.
Até o momento em que este relatório foi publicado, a Sui Foundation e a Mysten Labs não haviam feito declarações públicas sobre o caso da Scallop. De acordo com a explicação oficial da Scallop, o protocolo planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes; o cronograma da auditoria ainda está em definição.
Perguntas frequentes
Qual foi o momento em que ocorreu este ataque explorando a vulnerabilidade e qual foi o tamanho das perdas?
De acordo com o comunicado oficial no X da Scallop, o ataque ocorreu em 26 de abril de 2026 (domingo) às 12:50 UTC. O atacante extraiu cerca de 150.000 SUI do contrato de recompensas do sSUI spool abandonado. O pool principal de capital do empréstimo e os depósitos dos usuários em outros mercados não foram afetados.
Quais compromissos oficiais a Scallop assumiu em relação a este ataque?
De acordo com a declaração oficial da Scallop, o protocolo congelou os contratos afetados dentro de poucos minutos após o ataque e restaurou toda a funcionalidade às 14:42 UTC (cerca de duas horas após a publicação do comunicado). A Scallop confirmou que compensará integralmente todas as perdas com recursos da empresa, que os ganhos dos usuários não seriam afetados e que planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes.
Qual é a causa técnica fundamental desta vulnerabilidade e como ela se relaciona com a arquitetura técnica da Sui Network?
De acordo com análises independentes on-chain, a vulnerabilidade se originou de um contador last_index não inicializado em um pacote abandonado V2 spool implantado em novembro de 2023. Na Sui Network, pacotes implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas, permitindo que o atacante explorasse código abandonado de mais de 17 meses atrás para extrair 150.000 SUI.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Kelp DAO abandona o LayerZero pelo Chainlink CCIP após o exploit de $292M
De acordo com o The Block, a Kelp DAO está abandonando a LayerZero como provedor de infraestrutura cross-chain em favor da Chainlink, tornando-se o primeiro grande protocolo a se afastar da LayerZero após os US$ 292 milhões
GateNews7m atrás
Gomining lança GoBTC na Consensus Miami, mirando a tão aguardada camada de pagamentos do Bitcoin
A Gomining, uma das 10 maiores mineradoras de bitcoin do mundo, com 5 milhões de usuários, revelou o GoBTC na Consensus Miami 2026, um protocolo aberto de pagamentos que oferece autorização instantânea e liquidação de bitcoin onchain em até 12 horas, com uma taxa de 0,2% para comerciantes.
Principais conclusões:
Gomining lançou o GoBTC na Cons
Coinpedia42m atrás
Prophet lança mercado de previsão com IA e tranche de negociação ao vivo no valor de US$ 10.000 hoje
De acordo com a MetaversePost, a Prophet lançou hoje (6 de maio) um mercado de previsão com IA, com US$ 10.000 em USDC destinados a negociações ao vivo. Os usuários podem negociar diretamente contra uma contraparte de IA que gera preços baseados em probabilidade para cada mercado, com alguns contratos sendo liquidados em até 24
GateNews1h atrás
WorldClaw lança o WorldRouter com WLFI, oferecendo 300+ modelos de IA a um custo 30% menor
De acordo com a WorldClaw, a empresa lançou o WorldRouter em parceria com a World Liberty Fi, permitindo que os usuários acessem mais de 300 modelos de IA por meio de uma única conta com custos aproximadamente 30% menores do que os preços diretos dos provedores. O WorldRouter serve como o primeiro ponto de entrada para o AgentOS da WorldClaw,
GateNews1h atrás
Atualização do Stable Mainnet v1.3.0 é ativada em 13 de maio na altura do bloco 24.077.500
De acordo com a Foresight News, a atualização do mainnet v1.3.0 da Stable será ativada em 13 de maio às 15:00 UTC na altura do bloco 24.077.500. A atualização aprimora a segurança da execução e melhora o consenso da rede ao reforçar a proteção para a execução precompilada, corrigir inconsistências na execução da EVM e aprimorar
GateNews2h atrás
SoFi Lança o SoFiUSD na Solana, Citando Custos Mais Baixos e Velocidade
De acordo com o chefe da SoFi, Ben Reynolds, a SoFi Technologies vai lançar sua stablecoin SoFiUSD na rede Solana na terça-feira (5 de maio). A medida segue a estreia da SoFiUSD em dezembro de 2025, uma stablecoin totalmente lastreada em dólar dos EUA emitida pelo SoFi Bank.
“Acreditamos que esta é a cadeia certa para pagamentos, pa
GateNews3h atrás
