A Sui Network协议 de empréstimo descentralizado Scallop em 26 de abril (domingo) publicou um comunicado oficial na plataforma X, confirmando que sofreu um ataque explorando uma vulnerabilidade. O atacante extraiu cerca de 150.000 SUI de um contrato de recompensas abandonado associado a sSUI spool. De acordo com a declaração oficial, o pool principal de capital e os depósitos dos usuários não foram afetados. A operação de saques e depósitos foi restaurada, e foi confirmado que todas as perdas serão integralmente compensadas com recursos da empresa.
Linha do tempo do evento e resposta oficial da Scallop
De acordo com o comunicado no X da Scallop (26 de abril às 12:50 UTC), o alvo do ataque foi o contrato de recompensas auxiliar do sSUI spool. Esse contrato constitui a camada de incentivos do protocolo para depositantes de SUI, e não a lógica central de empréstimo. A equipe da Scallop congelou o contrato afetado poucos minutos após o incidente; o contrato principal foi congelado e depois liberado em até duas horas, e saques e recargas foram retomados às 14:42 UTC.
Na declaração oficial, a Scallop afirmou: «A Scallop irá compensar integralmente 100% das perdas.»
Análise técnica da vulnerabilidade: contador não inicializado do pacote abandonado de 2023
(Fonte: Vadim)
De acordo com análises independentes na cadeia, o ponto de entrada do ataque foi o pacote abandonado V2 spool implantado pela Scallop em novembro de 2023, ocorrido mais de 17 meses antes deste ataque. Na arquitetura técnica da Sui Network, pacotes já implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas.
O atacante identificou um contador last_index não inicializado no pacote. Esse contador é usado para rastrear recompensas acumuladas dos depositantes. O atacante apostou cerca de 136.000 sSUI; o sistema tratou essa posição como se fosse uma posição existente desde o início do spool em agosto de 2023. Após cerca de 20 meses de acumulação exponencial, o índice do spool cresceu para cerca de 1,19 bilhão, permitindo que o atacante obtivesse cerca de 162 trilhões de pontos de recompensa, que foram trocados por 150.000 SUI na proporção 1:1.
O hash do registro de transação on-chain pode ser consultado: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registro de eventos recentes de vulnerabilidades na Sui DeFi
De acordo com reportes públicos, no início de abril de 2026, ocorreu um ataque semelhante envolvendo o Volo Protocol na Sui Network; o alvo também era um contrato auxiliar, e não a lógica central do protocolo, com perdas de cerca de US$ 3,5 milhões. Além disso, uma semana antes do ataque, ocorreu um incidente de ataque de ponte na rede Ethereum, em que cerca de US$ 292 milhões em tokens de liquidez não garantida re-depositados foram roubados.
Até o momento em que este relatório foi publicado, a Sui Foundation e a Mysten Labs não haviam feito declarações públicas sobre o caso da Scallop. De acordo com a explicação oficial da Scallop, o protocolo planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes; o cronograma da auditoria ainda está em definição.
Perguntas frequentes
Qual foi o momento em que ocorreu este ataque explorando a vulnerabilidade e qual foi o tamanho das perdas?
De acordo com o comunicado oficial no X da Scallop, o ataque ocorreu em 26 de abril de 2026 (domingo) às 12:50 UTC. O atacante extraiu cerca de 150.000 SUI do contrato de recompensas do sSUI spool abandonado. O pool principal de capital do empréstimo e os depósitos dos usuários em outros mercados não foram afetados.
Quais compromissos oficiais a Scallop assumiu em relação a este ataque?
De acordo com a declaração oficial da Scallop, o protocolo congelou os contratos afetados dentro de poucos minutos após o ataque e restaurou toda a funcionalidade às 14:42 UTC (cerca de duas horas após a publicação do comunicado). A Scallop confirmou que compensará integralmente todas as perdas com recursos da empresa, que os ganhos dos usuários não seriam afetados e que planeja realizar uma auditoria abrangente de todos os pacotes antigos existentes.
Qual é a causa técnica fundamental desta vulnerabilidade e como ela se relaciona com a arquitetura técnica da Sui Network?
De acordo com análises independentes on-chain, a vulnerabilidade se originou de um contador last_index não inicializado em um pacote abandonado V2 spool implantado em novembro de 2023. Na Sui Network, pacotes implantados não podem ser alterados; a menos que o controle de versão seja explicitamente definido, versões antigas ainda podem ser chamadas, permitindo que o atacante explorasse código abandonado de mais de 17 meses atrás para extrair 150.000 SUI.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Polymarket atualiza a plataforma em 28 de abril, migrando garantias de USDC.e para pUSD
Mensagem da Gate News, 27 de abril — A Polymarket anunciou que fará uma atualização de sua plataforma em 28 de abril de 2026, aproximadamente às 19:00 UTC, com as negociações suspensas por cerca de uma hora durante a janela de manutenção. A atualização inclui um novo contrato de negociação de geração (CTF Exchange V2), uma carteira de ordens reconstruída
GateNews1h atrás
Curve propõe plano de recuperação baseado em mercado para $700K Bad Debt no mercado CRV-long LlamaLend
Mensagem de Notícias do Gate, 27 de abril — A equipe do Curve divulgou uma proposta de governança em 27 de abril para abordar aproximadamente $700.000 em dívidas de liquidação (bad debt) do mercado CRV-long LlamaLend, que ocorreu em 10 de outubro de 2025. O mecanismo de recuperação proposto aproveita a opcionalidade dos ativos de vault CRV-long: o valor do vault aumenta quando o preço do CRV sobe, mas não sofre perdas adicionais quando o preço cai.
O mecanismo proposto chama para estabelecer uma Curve stableswap com um baixo coeficiente de amplificação A=2 e uma alta taxa de swap 1% para concentrar a liquidez dos tokens do vault em torno de um nível de solvência de 71%. Arbitrageurs podem usar flash loans para comprar tokens do vault e executar liquidações parciais com lucro. O Curve DAO é convidado a aprovar medidas de incentivo para o pool, com as taxas de gestão coletadas mantidas na forma de tokens do vault dentro do tesouro.
Se o mecanismo tiver sucesso, ele servirá como uma solução de referência para situações semelhantes. A proposta representa uma abordagem orientada pelo mercado para lidar com dívidas de liquidação de protocolos por meio do design de mecanismos, em vez de intervenção direta do tesouro.
GateNews1h atrás
AAVE Agora no Ar na Rede Solana, Disponível no Phantom e Jupiter
Mensagem do Gate News, 27 de abril — AAVE agora está disponível na rede Solana, com suporte para negociar o token de governança DeFi em plataformas incluindo Phantom e Jupiter.
Aave é um protocolo de liquidez sem custódia
GateNews1h atrás
Aave, Kelp, LayerZero Propose Releasing $71M Frozen ETH to Restore rsETH
Gate News message, April 26 — Aave Labs, joined by Kelp DAO, LayerZero, EtherFi, and Compound, filed a Constitutional AIP on Saturday morning asking Arbitrum DAO to release roughly $71 million in frozen ETH into DeFi United, a cross-protocol relief effort following last week's $292 million Kelp DAO
GateNews3h atrás
Aave Propõe 25.000 ETH ao DeFi United para Alívio do Exploit da Kelp DAO
Os provedores de serviço da Aave apresentaram uma proposta de governança na sexta-feira que contribuiria com 25.000 ETH no valor de quase $58 milhões do DAO do protocolo para a DeFi United, um “esforço coordenado de alívio” para restaurar o respaldo para rsETH após o exploit do Kelp DAO. A contribuição proposta iria para clos
CryptoFrontier7h atrás
Pavel Durov Diz que as Taxas da TON Vão Cair 6x, Mirando Custos Quase Zero
A TON reduz as taxas de transação em seis vezes, levando-as a níveis próximos de zero, mudando para preços fixos que não dependem da congestão da rede.
A atualização aumenta a velocidade e a finalização, permitindo transações mais rápidas e mais baratas em comparação com Ethereum, Bitcoin e Solana.
Custos mais baixos sustentam microtransações e apps,
CryptoFrontNews8h atrás
