Mensagem da Gate News, 26 de abril — O Scallop Protocol, uma plataforma de concessão de empréstimos na blockchain Sui, sofreu um exploit de flash loan que visou um contrato lateral descontinuado ligado ao seu pool de recompensas de sSUI, resultando numa perda de aproximadamente $142,000 (150,000 SUI). O ataque explorou a manipulação do feed de preços do oráculo para reduzir artificialmente as taxas de câmbio SUI/USDC e contrair ativos a preços distorcidos, com o atacante a reembolsar o flash loan na mesma transação e a embolsar a diferença.
O problema central resultou de um contrato V2 descontinuado, implementado em novembro de 2023, que permaneceu chamável on-chain. Neste contrato desatualizado, uma variável crítica chamada “last_index” nunca foi inicializada quando foram criadas novas contas. Esta falha permitiu ao atacante reclamar recompensas como se tivesse estado a fazer staking desde o início do pool. Como o índice de recompensas cresceu para 1,19 mil milhões ao longo de 20 meses, o atacante fez staking de 136.000 sSUI mas recebeu crédito por 162 biliões de pontos. Como o pool de recompensas operava a uma taxa de câmbio 1:1, estes pontos foram convertidos diretamente em recompensas no valor de 162.000 SUI. O pool continha apenas 150.000 SUI, e todas as verbas foram drenadas. Os dados on-chain mostram que os fundos roubados foram rapidamente encaminhados através de um serviço de mistura, complicando os esforços de recuperação.
A equipa do Scallop respondeu ao pausar temporariamente as operações antes de descongelar os contratos principais e retomar todas as operações. O protocolo confirmou que o exploit estava isolado ao contrato de recompensas descontinuado e não afetou o protocolo principal nem os depósitos dos utilizadores, com todas as verbas a permanecerem seguras. O atacante contactou posteriormente a equipa, oferecendo devolver 80% das verbas roubadas em troca de uma recompensa tipo white-hat, e o incidente está agora a ser investigado. A equipa irá rever como é que a falha escapou à deteção durante auditorias anteriores por empresas incluindo OtherSec e MoveBit.
O preço da SUI manteve-se resiliente após o exploit, subindo aproximadamente 2% nas 24 horas seguintes ao ataque e a negociar a $0,94, com um volume diário de negociação de cerca de $187 milhões. O incidente reflete uma tendência mais ampla em abril de 2026, em que grandes exploits em DeFi visaram contratos descontinuados e camadas de infraestrutura em vez da lógica do protocolo principal, com perdas cumulativas a exceder $600 milhões em 12 grandes incidentes durante o mês.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Relatório da Kaiko: Possível Front-Running antes de Listagens da Robinhood, Vários Tokens Evidenciam Anomalias
De acordo com a Cointelegraph, a empresa de dados cripto Kaiko divulgou a 5 de maio uma actividade suspeita de front-running em torno das listagens de activos da Robinhood. A análise identificou o endereço de carteira 0xa1E a abrir uma posição long no Hyperliquid aproximadamente uma hora antes de a Robinhood anunciar Lighter (LIT) em
GateNews9m atrás
Atacantes do Wasabi Protocol transferem 5,9 milhões de dólares em fundos roubados para o Tornado Cash a 5 de maio
De acordo com o analista on-chain Specter, os atacantes do protocolo Wasabi transferiram aproximadamente 5,9 milhões de dólares em fundos roubados para a Tornado Cash a 5 de maio, concluindo uma operação centralizada de mistura de moedas. Os fundos seguem um percurso de transferências complexo e em várias etapas, que inclui violações anteriores na KelpDAO e
GateNews2h atrás
A Ripple partilha informações de inteligência sobre a pirataria da Coreia do Norte, à medida que os ataques cripto mudam para a engenharia social
De acordo com o anúncio da Crypto ISAC na terça-feira, a Ripple está a partilhar inteligência interna sobre atores ligados à Coreia do Norte com o sector das criptomoedas, incluindo domínios associados a fraudes, endereços de carteiras e indicadores de comprometimento de campanhas de pirataria recentes.
A medida surge na sequência dos 280 milhões de dólares da D
GateNews4h atrás
ZachXBT: Tokenlon facilitou fundos do Grupo $45M Lazarus
Em 4 de maio de 2026, o investigador on-chain ZachXBT publicou um relatório pormenorizado acusando o agregador de bolsa descentralizada Tokenlon de facilitar a movimentação de fundos ilícitos associados ao Grupo Lazarus, a quadrilha de pirataria norte-coreana ligada a grandes heists no sector das criptomoedas. Segundo o relatório de ZachXBT's
CryptoFrontier5h atrás
Aave Procura Impedir o Confisco de 71 Milhões de ETH na Arbitrum Após Exploração de rsETH
Aave apresentou um recurso judicial para bloquear uma notificação de interdição temporária de Nova Iorque que congelou 71 milhões de dólares em ETH na Arbitrum na sequência do exploit de rsETH. O credor sustenta que os fundos congelados pertencem aos utilizadores do protocolo e não aos credores com ligações à Coreia do Norte referidos pelas autoridades. A ordem de restrição
GateNews5h atrás
A Aftermath Finance abre uma página de reclamações para utilizadores afetados por um ataque na sequência do incidente da semana passada
De acordo com o comunicado oficial da Sui no X, a Aftermath Finance abriu uma página de reclamações para os utilizadores afetados pelo ataque da semana passada, com todos os reembolsos processados. Quando os utilizadores se ligarem novamente a aftermath.finance, o sistema irá pedir-lhes que levantem os saldos das Aftermath Perps. Os utilizadores afetados podem contactar th
GateNews7h atrás
