A DeFi de empréstimos na rede Sui, o protocolo Scallop, publicou um aviso de incidente de segurança na conta oficial do X (@Scallop_io), confirmando que a plataforma foi atacada. A Scallop afirma que a equipe encontrou um contrato lateral (side contract) relacionado a um pool de recompensas de sSUI que estava sendo explorado, causando uma perda de cerca de 150 mil SUI. A Scallop enfatiza que o contrato afetado foi congelado, o contrato central ainda está seguro e apenas o pool de recompensas de sSUI foi atingido.
Nas atualizações subsequentes, a Scallop explicou ainda: “O contrato central foi descongelado e todas as operações foram restauradas. Este problema não tem relação com o protocolo central, limitando-se a um contrato de recompensas desativado. Os depósitos dos usuários não foram afetados, todos os fundos estão seguros e as funcionalidades de saque e depósito já foram restauradas ao normal.” A equipe se comprometeu a compartilhar mais detalhes e a continuar monitorando e reforçando a segurança do protocolo.
Ex-membro do núcleo da NEAR Vadim: o problema está em um pacote antigo de 17 meses
Em relação a este incidente, o ex-desenvolvedor principal da NEAR Vadim (@zacodil) publicou uma análise técnica aprofundada no X, revelando detalhes da vulnerabilidade. Vadim apontou que os atacantes sabem exatamente qual pacote desativado chamar. “Não é código atualmente em execução, nem um caminho de SDK, e sim uma versão antiga V2 de novembro de 2023, que ficou meses sem ser usada. Ou isso exige engenharia reversa aprofundada, ou alguém já sabia exatamente onde procurar. Esta vulnerabilidade ficou latente por 17 meses.
Vadim explica que o spool rastreia um índice que cresce à medida que as recompensas são alocadas. Quando cada conta de usuário faz o staking, deveria registrar o last_index no momento, de modo que a fórmula do cálculo dos pontos ganhos seja: quantidade apostada × (current_index − last_index); os usuários só conseguem ganhar recompensas a partir do momento em que entram.
Mas no pacote V2 desativado, ao criar uma nova spool_account, o last_index não é inicializado, permanecendo como 0. Portanto, quando o update_points é executado, o resultado do cálculo vira: pontos = quantidade apostada × (current_index − 0) = quantidade apostada × índice histórico completo. Os usuários são creditados com todas as recompensas acumuladas desde a criação do spool em agosto de 2023.
Vadim fornece dados específicos: o índice do spool cresceu para 1,19 bilhão em 20 meses. O atacante fez staking de 136 mil sSUI e, instantaneamente, foi creditado com 162 trilhões de pontos. Como o pool de recompensas adota uma taxa de conversão 1:1 (numerador e denominador ambos são 1), 162 trilhões de pontos foram convertidos diretamente em recompensas no valor de 162 mil SUI. Porém, havia apenas 150 mil SUI no pool de recompensas, então ele foi completamente drenado.
Todos os incidentes de segurança na cadeia ocorreram em sistemas periféricos
Vadim explica que, no uso normal, usuários comuns usam o SDK para o pacote novo, e o pacote novo já corrigiu o problema de sincronização do last_index. O motivo de o pacote V2 antigo ainda permanecer na cadeia é a imutabilidade dos pacotes Sui. — uma vez publicado, cada versão antiga poderá ser chamada para sempre. Os objetos compartilhados Spool e RewardsPool aceitam chamadas de qualquer versão, e o atacante contorna o SDK, atingindo diretamente o caminho do código da versão antiga.
Vadim classificou isso como “uma vulnerabilidade do tipo pacote desatualizado no Sui”. Ele aponta que a forma correta de corrigir exige adicionar um campo de versão nos objetos compartilhados e incluir uma verificação em cada função: assert!(version == CURRENT_VERSION). Sem esse mecanismo, cada versão de pacote publicada no passado continuará sendo uma superfície de ataque viva para sempre.
Vadim também destaca que, neste mês, a maioria dos incidentes de ataque não ocorreu no código do protocolo central, mas sim em sistemas periféricos:
KelpDAO:infraestrutura de RPC
Litecoin:camada de privacidade MWEB
Aethir:controle de acesso do adaptador periférico
Scallop:o pacote antigo esquecido
Este artigo sobre o hack no protocolo de empréstimos DeFi na rede Sui Scallop, que teve 150 mil SUI roubados devido a uma vulnerabilidade em contrato antigo, apareceu primeiro em Notícias da Cadeia ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Agentes de IA impulsionam a demanda por pagamentos em cripto, x402 processa 165M de transações
Mensagem do Gate News, 27 de abril — Jesse Pollak, executivo de uma grande CEX, argumentou que agentes autônomos de IA estão criando um novo "centro de demanda" para pagamentos em cripto, exigindo infraestrutura de pagamentos nativa de software. Em 20 de abril, foi anunciado que o ecossistema x402 processou mais de 165
GateNews9m atrás
Desenvolvedor Propõe Hard Fork do Bitcoin para o eCash com Distribuição 1:1, Dispara Debate Sobre Alocação de Endereço de Satoshi
Mensagem do Gate News, 27 de abril — O desenvolvedor Paul Sztorc propôs um hard fork do Bitcoin agendado para agosto de 2026 na altura do bloco 964.000 para criar uma nova blockchain chamada eCash, segundo a CoinDesk. O fork vai distribuir eCash aos usuários que detêm BTC na proporção de 1:1 e introduzir a arquitetura de sidechain de Drivechains
GateNews50m atrás
Western Union Remittance Confirms: USDPT Stablecoin Launch in May at Q1 Earnings Call
De acordo com o conteúdo da teleconferência de resultados do 1º trimestre da Western Union em 24 de abril, o presidente e CEO da Western Union, Devin McGranahan, confirmou que a stablecoin USDPT da empresa já entrou na fase final de preparação e está prevista para ser lançada em maio.
MarketWhisper1h atrás
孙宇晨称 TRON 为全球首个抗量子攻击网络,2026 年 Q3 主网上线
O fundador da TRON, Sun Yuchen, publicou no X em 26 de abril para anunciar que a TRON planeja ativar uma funcionalidade de proteção contra ataques quânticos na rede de testes no segundo trimestre, com a implantação da rede principal planejada para o terceiro trimestre. Sun Yuchen, na postagem, chamou este plano de atualização de “primeira rede global resistente a ataques quânticos”. Embora a ameaça quântica ainda esteja principalmente no campo teórico, o Ethereum, a Solana e outros já divulgaram planos de atualização ou cronogramas para criptografia pós-quântica (PQC).
MarketWhisper1h atrás
A arrecadação do DeFi United ultrapassa 10,2 mil ETH, e AAVE se recupera para US$ 100
De acordo com a página oficial da DeFi United, o fundo de resgate multí-protocolos DeFi United, liderado pelo provedor de serviços da Aave, já arrecadou mais de 10,2 mil ETH até 27 de abril, com o objetivo de preencher a lacuna de inadimplência gerada pelo mercado Aave V3 após o incidente de ataque ao bridge cross-chain da Kelp DAO em 18 de abril. AAVE ultrapassou temporariamente US$ 100 e depois caiu.
MarketWhisper2h atrás
Mainnet DPoS da Vcitychain é lançada com um sistema de consenso desenvolvido por conta própria
Mensagem do Gate News, 27 de abril — A Vcitychain, uma blockchain de grau comercial, lançou oficialmente hoje sua mainnet DPoS, fazendo a transição para um sistema de consenso de Delegated Proof of Stake (DPoS) desenvolvido por conta própria.
A atualização tem como objetivo aprimorar o desempenho da rede, aumentar a descentralização e melhorar a transparência da governança na cadeia g
GateNews2h atrás
