Mensagem da Gate News, 26 de abril — O Scallop Protocol, uma plataforma de concessão de empréstimos na blockchain Sui, sofreu um exploit de flash loan que visou um contrato lateral descontinuado ligado ao seu pool de recompensas de sSUI, resultando numa perda de aproximadamente $142,000 (150,000 SUI). O ataque explorou a manipulação do feed de preços do oráculo para reduzir artificialmente as taxas de câmbio SUI/USDC e contrair ativos a preços distorcidos, com o atacante a reembolsar o flash loan na mesma transação e a embolsar a diferença.
O problema central resultou de um contrato V2 descontinuado, implementado em novembro de 2023, que permaneceu chamável on-chain. Neste contrato desatualizado, uma variável crítica chamada “last_index” nunca foi inicializada quando foram criadas novas contas. Esta falha permitiu ao atacante reclamar recompensas como se tivesse estado a fazer staking desde o início do pool. Como o índice de recompensas cresceu para 1,19 mil milhões ao longo de 20 meses, o atacante fez staking de 136.000 sSUI mas recebeu crédito por 162 biliões de pontos. Como o pool de recompensas operava a uma taxa de câmbio 1:1, estes pontos foram convertidos diretamente em recompensas no valor de 162.000 SUI. O pool continha apenas 150.000 SUI, e todas as verbas foram drenadas. Os dados on-chain mostram que os fundos roubados foram rapidamente encaminhados através de um serviço de mistura, complicando os esforços de recuperação.
A equipa do Scallop respondeu ao pausar temporariamente as operações antes de descongelar os contratos principais e retomar todas as operações. O protocolo confirmou que o exploit estava isolado ao contrato de recompensas descontinuado e não afetou o protocolo principal nem os depósitos dos utilizadores, com todas as verbas a permanecerem seguras. O atacante contactou posteriormente a equipa, oferecendo devolver 80% das verbas roubadas em troca de uma recompensa tipo white-hat, e o incidente está agora a ser investigado. A equipa irá rever como é que a falha escapou à deteção durante auditorias anteriores por empresas incluindo OtherSec e MoveBit.
O preço da SUI manteve-se resiliente após o exploit, subindo aproximadamente 2% nas 24 horas seguintes ao ataque e a negociar a $0,94, com um volume diário de negociação de cerca de $187 milhões. O incidente reflete uma tendência mais ampla em abril de 2026, em que grandes exploits em DeFi visaram contratos descontinuados e camadas de infraestrutura em vez da lógica do protocolo principal, com perdas cumulativas a exceder $600 milhões em 12 grandes incidentes durante o mês.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Os desafios do Aave ($73M ETH) congelados em tribunal devido ao exploit da Kelp DAO
Aave LLC apresentou uma moção de emergência num tribunal federal a 1 de maio, procurando levantar uma ordem que congelou cerca de 73 milhões de dólares em ether associados ao exploit da Kelp DAO do mês passado, segundo o articulado. A moção contesta as restrições sobre o Arbitrum DAO para movimentar os fundos recuperados, enquanto os demandantes de um processo separado y
CryptoFrontier1h atrás
CEO da Zondacrypto desaparece a 5 de maio levando 4.500 chaves privadas de Bitcoin; CEO atual foge para Israel
De acordo com a BlockBeats, a 5 de maio, o antigo CEO da bolsa polaca de criptomoedas Zondacrypto desapareceu em 2022, levando consigo as chaves privadas de uma carteira fria que continha 4.500 BTC (atualmente no valor de mais de 340 milhões de dólares). O atual CEO admitiu que a carteira já não é acessível e, segundo foi noticiado, terá fugido para Israel.
GateNews1h atrás
Payward Alega Fraude de Custódia Cripto $25M Contra a Etana
Payward, a empresa-mãe da bolsa de criptomoedas Kraken, apresentou uma ação judicial alegando fraude de custódia de cripto no valor de 25 milhões de dólares contra a Etana e o CEO da empresa, segundo a queixa. As alegações centram-se em alegados desvios, mistura e ocultação de fundos dos clientes, como parte de um esquema “semelhante a um Ponzi-like”.
CryptoFrontier3h atrás
O Bisq Protocol foi atacado, tendo sido roubados aproximadamente 11 BTC devido à falta de mecanismos de validação
De acordo com uma declaração oficial divulgada pelo ChainCatcher, o protocolo Bisq foi atacado recentemente, resultando na apropriação de aproximadamente 11 BTC devido à falta de mecanismos de validação. Os atacantes exploraram uma vulnerabilidade de taxa de miner negativa para transferir fundos através de transações multi-assinatura.
Bisq é
GateNews3h atrás
Aave reage com moção de urgência à contra-medida contra o bloqueio de 73 milhões de dólares em ETH: “O ladrão não possui o que roubou”
Aave apresentou um requerimento urgente ao Tribunal Distrital Sul de Nova Iorque, pedindo a revogação do bloqueio de 30,766 ETH (aproximadamente 73 milhões de dólares). Argumento central: os bens roubados continuam a pertencer aos utilizadores originais; o ladrão não consegue obter a propriedade de tudo; os bens, quando a retirada segura da comissão de segurança do Arbitrum for executada, revertem imediatamente para as vítimas; as provas atribuídas ao grupo norte-coreano Lazarus Group são boatos, estando a audiência prevista para o final de maio. Este caso poderá afetar a governação da DeFi e o risco de atribuição futura de ativos.
ChainNewsAbmedia4h atrás
Seis antigos jogadores do Seville FC indiciados num esquema de fraude em criptomoedas “Shirtum”, com perdas de investidores superiores a 24 milhões de euros
De acordo com a Cryptopolitan, seis antigos jogadores do Seville FC foram indiciados por suspeitas de envolvimento no esquema de fraude em cripto Shirtum, com perdas dos investidores superiores a 24 milhões de euros (aproximadamente 28 milhões de dólares). Os jogadores nomeados na queixa-crime são Papu Gómez, Lucas Ocampos, Ivan Rakitić,
GateNews4h atrás
