O protocolo de empréstimos descentralizados Scallop da Sui Network publicou um anúncio oficial na plataforma X a 26 de abril (domingo), confirmando que foi alvo de um ataque a uma vulnerabilidade. O atacante retirou cerca de 150.000 SUI a partir de um contrato de recompensas abandonado associado ao sSUI spool. De acordo com a declaração oficial, o fundo de liquidez principal e os depósitos dos utilizadores não foram afetados. O protocolo foi restabelecido para permitir depósitos e levantamentos, confirmando-se que todas as perdas serão compensadas na totalidade com fundos da empresa.
Linha temporal do evento e resposta oficial da Scallop
De acordo com o anúncio da Scallop na plataforma X (26 de abril, 12:50 UTC), o alvo do ataque foi o contrato de recompensas associado ao sSUI spool, que constitui a camada de incentivos para depositantes de SUI do protocolo, e não a lógica central de empréstimo. A equipa da Scallop congelou o contrato afetado poucos minutos após o acontecimento. O congelamento do contrato principal foi desativado no prazo de duas horas, e os levantamentos e recargas foram retomados às 14:42 UTC.
A declaração oficial da Scallop afirma: «A Scallop irá compensar 100% das perdas na totalidade.»
Análise técnica da vulnerabilidade: contador last_index não inicializado do pacote abandonado de 2023
(Fonte: Vadim)
De acordo com análises independentes on-chain, o ponto de entrada do ataque foi o pacote V2 spool abandonado implantado pela Scallop em novembro de 2023, mais de 17 meses antes do ataque em questão. Na arquitetura técnica da Sui Network, os pacotes já implantados não podem ser alterados; a menos que o controlo de versões esteja explicitamente definido, as versões antigas ainda podem ser chamadas.
O atacante identificou o contador last_index não inicializado no pacote, que é utilizado para acompanhar as recompensas acumuladas pelos depositantes. O atacante apostou cerca de 136.000 sSUI; o sistema considerou esta posição como existente desde que o spool foi iniciado em agosto de 2023. Após cerca de 20 meses de acumulação exponencial, o índice do spool cresceu para cerca de 1,19 mil milhões, permitindo ao atacante obter cerca de 162 biliões de pontos de recompensa, que foram trocados por 150.000 SUI numa proporção 1:1.
Os registos de transações on-chain podem ser consultados pelo hash: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registo de recentes incidentes de vulnerabilidades em Sui DeFi
De acordo com reportagens públicas, no início de abril de 2026, ocorreu um ataque semelhante no Volo Protocol na Sui Network. O alvo também era um contrato associado e não a lógica central do protocolo; as perdas foram de aproximadamente 3,5 milhões de dólares. Além disso, cerca de uma semana antes do ataque, na rede Ethereum ocorreu um incidente de ataque de ponte, tendo sido roubados cerca de 292 milhões de dólares em tokens de liquidez re-alocados sem garantias.
Até ao momento em que esta reportagem foi publicada, a Sui Foundation e a Mysten Labs não tinham emitido um comunicado público sobre o caso da Scallop. De acordo com a explicação oficial da Scallop, o protocolo planeia realizar uma auditoria abrangente a todos os pacotes antigos existentes; o calendário da auditoria ainda não foi definido.
Perguntas frequentes
Qual foi o momento em que ocorreu este ataque por vulnerabilidade e qual foi a dimensão das perdas?
De acordo com o anúncio oficial da Scallop na plataforma X, o ataque ocorreu a 26 de abril de 2026 (domingo) às 12:50 UTC. O atacante retirou cerca de 150.000 SUI a partir do contrato de recompensas do sSUI spool abandonado. O fundo de liquidez central de empréstimos e os depósitos dos utilizadores noutros mercados não foram afetados.
Que compromissos oficiais fez a Scallop relativamente a este ataque?
De acordo com a declaração oficial da Scallop, o protocolo congelou o contrato afetado poucos minutos após o ataque e restaurou todas as funcionalidades de operação às 14:42 UTC (cerca de duas horas após a publicação do anúncio). A Scallop confirmou que irá compensar todas as perdas na totalidade com fundos da empresa, que os rendimentos dos utilizadores não foram afetados e que está a planear realizar uma auditoria abrangente a todos os pacotes antigos existentes.
Qual é a causa técnica fundamental desta vulnerabilidade e que relação tem com a arquitetura técnica da Sui Network?
De acordo com análises independentes on-chain, a falha deriva de um contador last_index não inicializado num pacote V2 spool abandonado implantado em novembro de 2023. Na Sui Network, os pacotes já implantados não podem ser modificados; a menos que o controlo de versões esteja explicitamente definido, as versões antigas continuam a poder ser chamadas, permitindo ao atacante explorar código abandonado de há mais de 17 meses para extrair 150.000 SUI.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Solana escolhe a Falcon para a criptografia pós-quântica, preparações de migração concluídas
Mensagem de Notícias da Gate, 27 de abril — A equipa oficial da Solana publicou um roteiro abrangente de computação quântica, reafirmando que as ameaças quânticas continuam a estar a anos de distância, enquanto o ecossistema já concluiu uma extensa investigação e preparação técnica.
Duas equipas independentes de desenvolvimento de clientes de validador,
GateNews18m atrás
Alphea Lança Blockchain Layer 1 Nativo de IA com Execução por Agentes Autónomos
Mensagem do Gate News, 27 de Abril — Alphea, uma nova plataforma de blockchain Layer 1 concebida para infra-estruturas de IA, apresentada oficialmente num ambiente descentralizado de execução no Hong Kong Web3 Festival 2026. A plataforma integra execução, memória persistente e computação verificável como
GateNews40m atrás
Lise conclui a primeira IPO tokenizada do mundo numa bolsa regulada
Mensagem da Gate News, 27 de abril — A Lise (Lightning Stock Exchange), uma bolsa regulada com sede em Paris, encerrou o que descreve como a primeira oferta pública inicial (IPO) do mundo executada numa infraestrutura de mercado totalmente regulada, nativamente tokenizada. A ST GROUP, uma PME industrial francesa fornecedora
GateNews1h atrás
A Ponte Entre Cadeias da Maple Finance Ultrapassa $7B em Volume Total
Mensagem das Notícias da Gate, 27 de abril — A Maple Finance anunciou na segunda-feira que a sua ponte entre cadeias processou mais de $7 billion em volume total, assinalando um marco significativo para o protocolo.
O feito reflecte a crescente adopção dos activos de rendimento em dólares da Maple em múltiplos ecossistemas de blockchain, d
GateNews1h atrás
Controvérsia de Hard Fork do Bitcoin: O plano do eCash visa as participações ocultas de Satoshi
Uma nova proposta de hard fork do Bitcoin por parte do programador Paul Sztorc desencadeou um intenso debate em toda a comunidade cripto. O fork planeado, denominado eCash, deverá ser lançado em Agosto de 2026 e distribuiria tokens aos detentores de Bitcoin numa proporção de 1:1. No entanto, a proposta tem atraído críticas devido a
CryptometerIo1h atrás
Tether Lança Mining Development Kit (MDK), Framework Open-Source para Mineradores de Bitcoin
Mensagem de notícias da Gate, 27 de abril — A Tether anunciou o lançamento do Mining Development Kit (MDK), um framework de desenvolvimento open-source, full-stack, concebido para proporcionar um controlo unificado sobre toda a pilha de infraestruturas para mineradores e programadores de Bitcoin.
O MDK oferece uma arquitectura modular aberta com interfaces agnósticas, combinando um SDK backend em JavaScript e uma biblioteca de componentes de interface em React para substituir sistemas proprietários fragmentados que há muito têm assolado as operações de mineração. A framework suporta Windows, macOS e Linux, e é aplicável a todos os utilizadores, desde mineradores domésticos a operações à escala de gigawatts, ajudando a evitar o bloqueio do fornecedor. O kit inclui a camada MDK Core, que pode ser implantada de forma independente, e um conjunto de ferramentas para desenvolvimento de interface, permitindo o desenvolvimento rápido de painéis de operação, fluxos de trabalho automatizados, ferramentas de gestão de pools de mineração e pipelines de analytics.
O CEO da Tether, Paolo Ardoino, afirmou que o MDK fornecerá suporte de infraestruturas para a próxima geração de mineração de Bitcoin centrada na automação e optimização. Isto segue a anterior disponibilização em código aberto, pela Tether, do seu sistema operativo de mineração, MOS.
GateNews3h atrás
