O Scallop Protocol perdeu $142K num empréstimo relâmpago combinado com um ataque de manipulação de oráculo

O Scallop Protocol foi alvo de um exploit de flash loan no domingo. O atacante terá drenado cerca de $142.000 (150.000 SUI) naquilo que parece ser um ataque de manipulação de oracle altamente direcionado. Este ataque não tocou nos contratos principais do protocolo, mas expôs uma falha de design mais profunda.

Um atacante terá explorado um contrato secundário descontinuado ligado ao pool de recompensas sSUI do Scallop. A equipa assegura que o protocolo principal permanece intacto e que todos os depósitos dos utilizadores estão seguros. No entanto, a perda está totalmente contida nessa parte isolada.

Falha no código antigo ou no oracle?

Os analistas sugerem que o problema central foi a manipulação dos feeds de preços do oracle personalizado do Scallop. Isto permitiu ao atacante deprimir artificialmente as taxas SUI/USDC e pedir ativos emprestados a esses preços distorcidos. O flash loan foi então reembolsado na mesma transação. No final, o suspeito ficou com a diferença.

Este ataque segue um padrão familiar de ataque DeFi; contudo, a execução neste caso foi invulgarmente precisa. O atacante não visou código ativo nem rotas SDK padrão. Interagiu com um contrato V2 mais antigo, de novembro de 2023. Tratava-se de uma versão que tinha sido abandonada, mas que permanecia invocável on-chain. O Sui mantém todas as versões de contratos implementados imutáveis e acessíveis. Foi por isso que este pacote desatualizado se tornou uma superfície de ataque oculta.

O preço do Sui não foi afetado após o exploit. Subiu quase 2% nas últimas 24 horas. O Sui está a ser negociado a $0,94 no momento de publicação. O seu volume de negociação nas últimas 24 horas ronda os $187 milhões.

Um perito mencionou numa publicação que a falha em si era subtil, mas grave. No contrato descontinuado, uma variável chave "last_index" nunca era inicializada quando uma nova conta era criada. Isto permitiu ao atacante reclamar recompensas como se tivesse estado a fazer staking desde o início do pool.

Com o índice de recompensas a ter crescido ao longo do tempo, o atacante conseguiu atribuir a si próprio o pool de recompensas inteiro numa única transação. O perito mencionou que o índice Spool cresceu até 1,19 mil milhões ao longo de 20 meses. 

O atacante fez staking de 136K sSUI e foi creditado com 162 biliões de pontos. No entanto, o pool de recompensas utilizava uma taxa de câmbio de 1:1 (numerador e denominador ambos = 1), pelo que 162 biliões de pontos foram convertidos diretamente em recompensas no valor de 162K SUI. O pool apenas tinha 150K SUI e todos foram drenados.

Os dados on-chain mostram que os fundos roubados foram rapidamente encaminhados através de um serviço de mistura, semelhante ao Tornado Cash no Sui. Isto torna a recuperação ainda mais difícil.

Scallop volta a funcionar após o hack

A equipa do Scallop respondeu pausando temporariamente as operações. Posteriormente, informou que descongelou os contratos principais e que todas as operações foram retomadas. Uma publicação no X destacou que o problema não estava relacionado com o protocolo principal e estava isolado a um contrato de recompensas descontinuado. No final, os depósitos dos utilizadores não foram afetados e todos os fundos permanecem seguros. Os saques e depósitos estão agora a funcionar normalmente.

O atacante terá contactado a equipa e oferecido devolver 80% dos fundos em troca de uma recompensa white-hat. O incidente está agora a ser investigado. A equipa irá verificar como a falha passou por auditorias anteriores realizadas por empresas como a OtterSec e a MoveBit.

A Cryptopolitan reportou que muitos dos principais incidentes de abril de 2026 não provieram da lógica central dos protocolos. Surgiram de contratos antigos, adaptadores ou camadas de infraestrutura que permanecem acessíveis, mas negligenciadas. As perdas acumuladas ultrapassaram os $750 milhões em meados de abril. Só abril de 2026 foi responsável por mais de $600 milhões em fundos roubados em 12 grandes incidentes. 

O Kelp DAO e o Drift Protocol, em conjunto, representam cerca de 95% das perdas de abril. O ataque ao Kelp resultou em $177 milhões em dívida irrecuperável no Aave. Entretanto, o Conselho de Segurança da Arbitrum congelou com sucesso 30.766 ETH (no valor aproximado de $71 milhões) dos fundos roubados.

O Hyperliquid continua a ser o maior token na categoria DeFi. O preço do HYPE subiu 10% nos últimos 30 dias. Está a ser negociado a $41,95 no momento de publicação. O Chainlink ocupa o 2.º lugar. O LINK foi negociado em torno de $9,4.

O seu banco está a usar o seu dinheiro. Você fica com as migalhas. Veja o nosso vídeo gratuito sobre como ser o seu próprio banco