O protocolo de empréstimos descentralizados Scallop da Sui Network publicou um anúncio oficial na plataforma X a 26 de abril (domingo), confirmando que foi alvo de um ataque a uma vulnerabilidade. O atacante retirou cerca de 150.000 SUI a partir de um contrato de recompensas abandonado associado ao sSUI spool. De acordo com a declaração oficial, o fundo de liquidez principal e os depósitos dos utilizadores não foram afetados. O protocolo foi restabelecido para permitir depósitos e levantamentos, confirmando-se que todas as perdas serão compensadas na totalidade com fundos da empresa.
Linha temporal do evento e resposta oficial da Scallop
De acordo com o anúncio da Scallop na plataforma X (26 de abril, 12:50 UTC), o alvo do ataque foi o contrato de recompensas associado ao sSUI spool, que constitui a camada de incentivos para depositantes de SUI do protocolo, e não a lógica central de empréstimo. A equipa da Scallop congelou o contrato afetado poucos minutos após o acontecimento. O congelamento do contrato principal foi desativado no prazo de duas horas, e os levantamentos e recargas foram retomados às 14:42 UTC.
A declaração oficial da Scallop afirma: «A Scallop irá compensar 100% das perdas na totalidade.»
Análise técnica da vulnerabilidade: contador last_index não inicializado do pacote abandonado de 2023
(Fonte: Vadim)
De acordo com análises independentes on-chain, o ponto de entrada do ataque foi o pacote V2 spool abandonado implantado pela Scallop em novembro de 2023, mais de 17 meses antes do ataque em questão. Na arquitetura técnica da Sui Network, os pacotes já implantados não podem ser alterados; a menos que o controlo de versões esteja explicitamente definido, as versões antigas ainda podem ser chamadas.
O atacante identificou o contador last_index não inicializado no pacote, que é utilizado para acompanhar as recompensas acumuladas pelos depositantes. O atacante apostou cerca de 136.000 sSUI; o sistema considerou esta posição como existente desde que o spool foi iniciado em agosto de 2023. Após cerca de 20 meses de acumulação exponencial, o índice do spool cresceu para cerca de 1,19 mil milhões, permitindo ao atacante obter cerca de 162 biliões de pontos de recompensa, que foram trocados por 150.000 SUI numa proporção 1:1.
Os registos de transações on-chain podem ser consultados pelo hash: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registo de recentes incidentes de vulnerabilidades em Sui DeFi
De acordo com reportagens públicas, no início de abril de 2026, ocorreu um ataque semelhante no Volo Protocol na Sui Network. O alvo também era um contrato associado e não a lógica central do protocolo; as perdas foram de aproximadamente 3,5 milhões de dólares. Além disso, cerca de uma semana antes do ataque, na rede Ethereum ocorreu um incidente de ataque de ponte, tendo sido roubados cerca de 292 milhões de dólares em tokens de liquidez re-alocados sem garantias.
Até ao momento em que esta reportagem foi publicada, a Sui Foundation e a Mysten Labs não tinham emitido um comunicado público sobre o caso da Scallop. De acordo com a explicação oficial da Scallop, o protocolo planeia realizar uma auditoria abrangente a todos os pacotes antigos existentes; o calendário da auditoria ainda não foi definido.
Perguntas frequentes
Qual foi o momento em que ocorreu este ataque por vulnerabilidade e qual foi a dimensão das perdas?
De acordo com o anúncio oficial da Scallop na plataforma X, o ataque ocorreu a 26 de abril de 2026 (domingo) às 12:50 UTC. O atacante retirou cerca de 150.000 SUI a partir do contrato de recompensas do sSUI spool abandonado. O fundo de liquidez central de empréstimos e os depósitos dos utilizadores noutros mercados não foram afetados.
Que compromissos oficiais fez a Scallop relativamente a este ataque?
De acordo com a declaração oficial da Scallop, o protocolo congelou o contrato afetado poucos minutos após o ataque e restaurou todas as funcionalidades de operação às 14:42 UTC (cerca de duas horas após a publicação do anúncio). A Scallop confirmou que irá compensar todas as perdas na totalidade com fundos da empresa, que os rendimentos dos utilizadores não foram afetados e que está a planear realizar uma auditoria abrangente a todos os pacotes antigos existentes.
Qual é a causa técnica fundamental desta vulnerabilidade e que relação tem com a arquitetura técnica da Sui Network?
De acordo com análises independentes on-chain, a falha deriva de um contador last_index não inicializado num pacote V2 spool abandonado implantado em novembro de 2023. Na Sui Network, os pacotes já implantados não podem ser modificados; a menos que o controlo de versões esteja explicitamente definido, as versões antigas continuam a poder ser chamadas, permitindo ao atacante explorar código abandonado de há mais de 17 meses para extrair 150.000 SUI.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
DeFi United angaria mais de 10,2 mil milhões de ETH, AAVE recupera para 100 dólares
De acordo com a página oficial da DeFi United, o fundo de recuperação multi-protocolar DeFi United, lançado e liderado pelos fornecedores do serviço Aave, tinha angariado mais de 102.000 ETH até 27 de abril, com o objectivo de colmatar a lacuna de créditos incobráveis gerada no mercado Aave V3 após o incidente de ataque à ponte cross-chain do Kelp DAO a 18 de abril. AAVE ultrapassou temporariamente os 100 USD antes de recuar.
MarketWhisper27m atrás
Vcitychain DPoS Mainnet Goes Live with Self-Developed Consensus System
Gate News message, April 27 — Vcitychain, a commercial-grade blockchain, officially launched its DPoS mainnet today, transitioning to a self-developed Delegated Proof of Stake (DPoS) consensus system.
The upgrade aims to enhance network performance, increase decentralization, and improve on-chain g
GateNews35m atrás
ApeCoin Transfere o Controlo do Jogo para a Comunidade à medida que a Temporada 3 de Blackbeard's Bounty é Concluída
Mensagem de Gate News, 27 de abril — A ApeCoin anunciou que a temporada da missão Blackbeard's Bounty foi oficialmente concluída, embora a capacidade dos utilizadores para criar e concluir tarefas de recompensa continue ativa. À medida que a temporada chega ao fim, o controlo do jogo está a ser transferido para a comunidade, com futuras direções de desenvolvimento a serem determinadas pelos jogadores. O projeto incentiva a participação contínua na construção do ecossistema e na criação de conteúdo.
O token APE tem demonstrado maior volatilidade recentemente, sendo negociado a $0.1508 com um ganho de 49.66% ao longo dos últimos sete dias. A oferta em circulação atual é de 752,65 milhões de APE, o que corresponde a uma capitalização de mercado de $114.22 milhões. Nas últimas 24 horas, o volume de negociação de contratos perpétuos de APE atingiu aproximadamente $204.68 milhões, enquanto as posições de open interest totalizaram cerca de $64.12 milhões, reflectindo ajustes contínuos da alavancagem no mercado.
GateNews36m atrás
O ecossistema FLOA lança a suite de IA FloaClaw com matriz de competências multi-cenário
Notícia da Gate, 27 de abril — O ecossistema FLOA lançou oficialmente o FloaClaw, o seu kit principal de IA, com uma matriz de competências de IA multi-cenário. O acesso às funções do FloaClaw é limitado a utilizadores Agents de nível 3 e superior.
O FloaClaw opera num sistema baseado em tokens em que os utilizadores compram
GateNews36m atrás
Aave Labs apresenta uma proposta à Arbitrum: desbloquear 30765 ETH para compensar as vítimas
De acordo com uma proposta publicada pela Aave Labs no fórum de governação do Arbitrum a 25 de abril, a Aave Labs exige que a organização autónoma descentralizada (DAO) do Arbitrum desbloqueie 30.765 ether (ETH) relacionados com o ataque à Kelp DAO e que transfira os fundos acima para o fundo de recuperação de “DeFi United”, para restaurar o suporte ao rsETH e compensar os detentores.
MarketWhisper2h atrás
Western Union vai lançar a stablecoin USDPT em maio, apresentando a Rede de Activos Digitais e o Stable Card
Mensagem da Gate News, 27 de abril — A Western Union anunciou, durante a sua conferência de resultados do primeiro trimestre a 24 de abril, que a sua stablecoin baseada na Solana, USDPT, está em fase final de preparação e deverá ser lançada no próximo mês. O CEO e Presidente Devin McGranahan declarou: "Já não se trata de saber se a Western Union vai estar activa em activos digitais; agora é apenas uma questão de quão rapidamente conseguimos escalar. Na base da nossa estratégia está o USDPT, a nossa stablecoin apoiada em dólares americanos."
GateNews2h atrás
