Eksploit DeFi Scallop Mengungkap Risiko Kontrak yang Tidak Lagi Digunakan di Tengah Kerugian $606 Juta pada April 2026

TLDR:

• Kerugian $140K Scallop berasal dari kontrak hadiah yang sudah tidak digunakan lagi, bukan dari infrastruktur inti protokol peminjamannya.
• April 2026 telah mencatat 13 eksploitasi DeFi, mendorong total kerugian industri melampaui $606 juta, bulan terburuk sejak Bybit.
• Scallop lulus audit penuh Sui Foundation pada Februari 2025, namun kontrak yang sudah tidak digunakan tersebut tetap menjadi risiko terbuka.
• Para ahli merekomendasikan untuk menyebarkan dana, menghindari kontrak lama, dan menarik hadiah secara rutin untuk mengurangi eksposur.

Scallop, protokol pinjaman terbesar di Sui, mengalami eksploitasi pada 26 April 2026, mengakibatkan kerugian sekitar $140.000.

Serangan tersebut menargetkan kontrak hadiah yang sudah tidak digunakan, bukan protokol inti itu sendiri. Setelah pelanggaran tersebut, tim Scallop membekukan kontrak yang terdampak, mengidentifikasi kerentanan, dan memulihkan operasi.

Deposit pengguna tidak terpengaruh sepanjang insiden berlangsung. Kejadian ini menambah daftar eksploitasi DeFi yang terus bertambah yang tercatat hanya di bulan April 2026.

Kontrak yang Sudah Tidak Digunakan Menjadi Titik Masuk bagi Penyerang

Eksploitasi Scallop tidak menembus infrastruktur utama protokol. Sebaliknya, penyerang menemukan celah pada kontrak hadiah lama yang sudah tidak digunakan.

Perbedaan ini penting, karena menunjukkan bagaimana kode lama dapat menjadi beban seiring waktu. Protokol sering kali menonaktifkan komponen tertentu tanpa sepenuhnya menghapusnya dari jaringan.

Scallop telah menyelesaikan audit penuh yang dilakukan oleh Sui Foundation pada Februari 2025. Meskipun telah melalui tinjauan tersebut, kontrak yang sudah tidak digunakan tetap menjadi mata rantai yang lemah.

Analis kripto Crypto Patel mencatat di X bahwa "diaudit tidak berarti aman," dengan menunjuk Scallop dan Kelp DAO sebagai contoh. Kelp DAO kehilangan $292 juta meskipun telah lulus dua audit terpisah sebelum pelanggaran terjadi.

Tim Scallop merespons dengan cepat dengan mengisolasi bug dan menghentikan sementara kontrak terkait. Operasi dilanjutkan tak lama setelah itu, dengan tim mengkonfirmasi bahwa tidak ada dana pengguna yang berisiko.

Respons cepat tersebut membantu membatasi kerusakan hanya pada komponen yang sudah tidak digunakan. Namun demikian, insiden ini menarik perhatian pada bagaimana kontrak lama semakin banyak digunakan sebagai vektor serangan.

Pola ini semakin umum di seluruh ekosistem Sui dalam beberapa bulan terakhir. Para pengembang dan peneliti keamanan mulai menandai kontrak yang tidak digunakan sebagai kekhawatiran yang terus berkembang.

Protokol yang membiarkan komponen yang sudah tidak digunakan tetap aktif tanpa penonaktifan yang tepat menghadapi risiko yang lebih tinggi. Kasus Scallop berfungsi sebagai titik referensi praktis untuk diskusi yang sedang berlangsung tersebut.

April 2026 Mencatat Bulan Terburuk untuk Kerugian DeFi Sejak Bybit

April 2026 terbukti menjadi bulan yang sulit bagi sektor DeFi yang lebih luas. Kerugian industri telah melampaui $606 juta, menjadikannya bulan terburuk sejak insiden Bybit.

Eksploitasi Scallop adalah pelanggaran DeFi ke-13 yang tercatat bulan ini. Frekuensi tersebut menunjukkan tantangan sistemik yang dihadapi platform keuangan terdesentralisasi.

Jaringan Sui, khususnya, telah mengalami insiden berulang selama setahun terakhir. Cetus DEX kehilangan $223 juta pada Mei 2025, diikuti oleh Nemo Protocol yang kehilangan $2,4 juta pada September 2025.

Volo Protocol terkena serangan senilai $3,5 juta pada 22 April 2026, hanya beberapa hari sebelum pelanggaran Scallop. Insiden-insiden ini mencerminkan pola kerentanan yang berulang di seluruh protokol berbasis Sui.

Manajemen risiko telah menjadi topik yang mendesak di kalangan peserta DeFi. Crypto Patel merekomendasikan untuk menghindari kontrak yang sudah tidak digunakan dan menarik hadiah secara rutin daripada membiarkannya menganggur.

Menyebarkan dana di berbagai protokol alih-alih mengkonsentrasikannya pada satu platform juga mengurangi eksposur. Memantau pengumuman resmi protokol sebelum melakukan deposit menambahkan lapisan perlindungan lainnya.

Komunitas DeFi yang lebih luas terus memeriksa bagaimana proses audit dapat diperkuat. Lulus audit tidak menjamin suatu protokol bebas dari kode yang dapat dieksploitasi, terutama pada komponen lama.

Tinjauan keamanan berkelanjutan yang mencakup kontrak yang sudah tidak digunakan semakin menjadi praktik yang direkomendasikan. Peristiwa April 2026 kemungkinan akan membentuk cara protokol mendekati manajemen siklus hidup kontrak ke depannya.

The post Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak appeared first on Blockonomi.