Exploit DeFi da Scallop expõe risco de contrato descontinuado em meio à sequência de perdas de $606M em abril de 2026

TLDR:

• A perda de $140K da Scallop teve origem num contrato de recompensas obsoleto, e não na infraestrutura principal do protocolo de empréstimo.
• Abril de 2026 registou 13 exploits de DeFi, elevando as perdas totais do setor para além de $606M, tornando-se o pior mês desde o incidente da Bybit.
• A Scallop concluiu uma auditoria completa pela Sui Foundation em fevereiro de 2025, mas o contrato obsoleto continuou a representar um risco em aberto.
• Os especialistas recomendam diversificar os fundos, evitar contratos legados e levantar recompensas regularmente para reduzir a exposição.

A Scallop, o maior protocolo de empréstimo da Sui, sofreu um exploit a 26 de abril de 2026, resultando em perdas de aproximadamente $140.000.

O ataque visou um contrato de recompensas obsoleto, e não o protocolo principal em si. Na sequência da violação, a equipa da Scallop congelou os contratos afetados, identificou a vulnerabilidade e retomou as operações.

Os depósitos dos utilizadores não foram afetados durante o incidente. O evento vem juntar-se a uma crescente lista de exploits de DeFi registados apenas em abril de 2026.

Contrato obsoleto torna-se o ponto de entrada para os atacantes

O exploit da Scallop não violou a infraestrutura principal do protocolo. Em vez disso, o atacante encontrou uma abertura num contrato de recompensas antigo e sem utilização.

Esta distinção é importante, pois mostra como o código legado pode tornar-se uma responsabilidade ao longo do tempo. Os protocolos frequentemente retiram certos componentes sem os eliminar completamente da rede.

A Scallop havia concluído uma auditoria completa realizada pela Sui Foundation em fevereiro de 2025. Apesar dessa revisão, o contrato obsoleto continuou a ser um elo fraco.

O analista de criptomoedas Crypto Patel assinalou no X que "auditado não significa seguro", apontando a Scallop e a Kelp DAO como exemplos. A Kelp DAO perdeu $292 milhões apesar de ter passado em duas auditorias separadas antes da sua violação.

A equipa da Scallop respondeu rapidamente, isolando o erro e pausando os contratos relacionados. As operações foram retomadas pouco depois, com a equipa a confirmar que nenhum fundo de utilizador estava em risco.

A resposta rápida ajudou a conter os danos apenas ao componente obsoleto. Ainda assim, o incidente chamou a atenção para a forma como os contratos antigos estão a ser cada vez mais utilizados como vetores de ataque.

Este padrão tornou-se mais comum em todo o ecossistema Sui nos últimos meses. Programadores e investigadores de segurança começaram a sinalizar contratos sem utilização como uma preocupação crescente.

Os protocolos que deixam componentes obsoletos ativos sem a devida desativação enfrentam um risco elevado. O caso da Scallop serve como ponto de referência prático para essa conversa em curso.

Abril de 2026 regista o pior mês para perdas em DeFi desde a Bybit

Abril de 2026 revelou-se um mês difícil para o setor DeFi em geral. As perdas do setor ultrapassaram os $606 milhões, tornando-se o pior mês desde o incidente da Bybit.

O exploit da Scallop é a 13.ª violação de DeFi registada este mês. Essa frequência aponta para um desafio sistémico que as plataformas de finanças descentralizadas enfrentam.

A rede Sui, em particular, registou incidentes repetidos ao longo do último ano. A Cetus DEX perdeu $223 milhões em maio de 2025, seguindo-se a Nemo Protocol com uma perda de $2,4 milhões em setembro de 2025.

O Volo Protocol foi alvo de um ataque no valor de $3,5 milhões a 22 de abril de 2026, poucos dias antes da violação da Scallop. Estes incidentes refletem um padrão de vulnerabilidade recorrente nos protocolos baseados na Sui.

A gestão de risco tornou-se um tema premente entre os participantes de DeFi. O Crypto Patel recomendou evitar contratos obsoletos e levantar recompensas regularmente, em vez de as deixar inativas.

Distribuir fundos por múltiplos protocolos, em vez de os concentrar numa única plataforma, também reduz a exposição. Monitorizar os anúncios oficiais do protocolo antes de efetuar depósitos acrescenta uma camada adicional de proteção.

A comunidade DeFi em geral continua a examinar como os processos de auditoria podem ser reforçados. Passar numa auditoria não garante que um protocolo esteja isento de código explorável, especialmente em componentes legados.

As revisões de segurança contínuas que abrangem contratos obsoletos estão a tornar-se uma prática recomendada. Os acontecimentos de abril de 2026 deverão moldar a forma como os protocolos abordam a gestão do ciclo de vida dos contratos no futuro.

The post Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak appeared first on Blockonomi.