Protocolul Scallop a pierdut 142K USD într-un atac de tip flash loan combinat cu o manipulare a oracolului

Scallop Protocol a fost victima unui exploit de tip flash loan duminică. Atacatorul ar fi sustras aproximativ 142.000 USD (150.000 SUI) într-un atac de manipulare a oracolului extrem de bine țintit. Acesta nu a atins contractele de bază ale protocolului, dar a expus un defect de design mai profund.

Un atacator ar fi exploatat un contract secundar depreciat legat de pool-ul de recompense sSUI al Scallop. Echipa lor subliniază că protocolul de bază rămâne intact și că toate depozitele utilizatorilor sunt în siguranță. Cu toate acestea, pierderea este complet limitată la acea parte izolată.

Cod vechi sau defect al oracolului?

Analiștii sugerează că problema de bază a fost manipularea fluxurilor de prețuri ale oracolului personalizat Scallop. Acest lucru i-a permis atacatorului să deprime artificial ratele SUI/USDC și să împrumute active la acele prețuri distorsionate. Acesta a rambursat ulterior flash loan-ul în cadrul aceleiași tranzacții. În final, suspectul a plecat cu diferența.

Aceasta urmează un tipar familiar de atac DeFi; totuși, execuția în acest caz a fost neobișnuit de precisă. Atacatorul nu a vizat cod activ sau rute SDK standard. Aceștia au interacționat cu un contract V2 mai vechi din noiembrie 2023. Aceasta era o versiune care fusese abandonată, dar rămânea apelabilă pe lanț. Sui păstrează toate versiunile de contracte implementate imuabile și accesibile. De aceea, acest pachet învechit a devenit o suprafață de atac ascunsă.

Prețul SUI nu a fost afectat după exploit. A crescut cu aproape 2% în ultimele 24 de ore. SUI se tranzacționează la 0,94 USD la momentul publicării. Volumul de tranzacționare pe 24 de ore se situează în jurul valorii de 187 milioane USD.

Un expert a menționat într-o postare că defectul în sine era subtil, dar sever. În contractul depreciat, o variabilă cheie „last_index" nu era niciodată inițializată la crearea unui cont nou. Acest lucru i-a permis atacatorului să revendice recompense ca și cum ar fi efectuat staking de la începutul pool-ului.

Deoarece indicele de recompense a crescut în timp, atacatorul a reușit să-și crediteze întregul pool de recompense într-o singură tranzacție. Acesta a menționat că indicele Spool a crescut la 1,19 miliarde în 20 de luni. 

Atacatorul a plasat în staking 136K sSUI și a primit credit pentru 162 de trilioane de puncte. Cu toate acestea, pool-ul de recompense funcționa cu un curs de schimb 1:1 (numărătorul și numitorul ambele = 1), astfel că 162T puncte s-au convertit direct în recompense în valoare de 162K SUI. Pool-ul conținea doar 150K SUI, iar toate au fost sustrase.

Datele on-chain arată că fondurile furate au fost rapid direcționate printr-un serviciu de mixare, similar cu Tornado Cash pe Sui. Acest lucru face recuperarea și mai dificilă.

Scallop revine online după atac

Echipa Scallop a răspuns prin suspendarea temporară a operațiunilor. Ulterior a raportat că au deblocat contractele de bază și că toate operațiunile au fost reluate. O postare pe X a subliniat că problema nu era legată de protocolul de bază și era izolată la un contract de recompense depreciat. În final, depozitele utilizatorilor nu au fost afectate și toate fondurile rămân în siguranță. Retragerile și depozitele funcționează acum în mod normal.

Se pare că atacatorul a contactat echipa și a oferit să returneze 80% din fonduri în schimbul unei recompense white-hat. Incidentul este în curs de investigare. Echipa va verifica cum a trecut defectul prin auditurile anterioare efectuate de firme precum OtterSec și MoveBit.

Cryptopolitan a raportat că multe dintre incidentele majore din aprilie 2026 nu au provenit din logica de bază a protocolului. Acestea au apărut din contracte vechi, adaptoare sau straturi de infrastructură care rămân accesibile, dar neglijate. Pierderile cumulate au depășit 750 milioane USD până la mijlocul lunii aprilie. Doar aprilie 2026 a înregistrat peste 600 milioane USD în fonduri furate în 12 incidente majore. 

Kelp DAO și Drift Protocol, împreună, au reprezentat aproximativ 95% din pierderile lunii aprilie. Atacul asupra Kelp a dus la 177 milioane USD datorii neperformante pe Aave. Între timp, Consiliul de Securitate al Arbitrum a înghețat cu succes 30.766 ETH (în valoare de aproximativ 71 milioane USD) din fondurile furate.

Hyperliquid este în continuare cel mai mare token din categoria DeFi. Prețul HYPE a crescut cu 10% în ultimele 30 de zile. Se tranzacționează la 41,95 USD la momentul publicării. Chainlink ocupă locul 2. LINK s-a tranzacționat în jurul valorii de 9,4 USD.

Banca ta îți folosește banii. Tu primești firimiturile. Urmărește videoclipul nostru gratuit despre cum să devii propria ta bancă