El ataque relámpago de scallop drena $142K del contrato de recompensas de Sui

Scallop sufrió un ataque con préstamo instantáneo el domingo después de que un explotador drenara aproximadamente $142,000 de un contrato de recompensas obsoleto vinculado a su pool sSUI

ContenidosContrato Obsoleto Expone Riesgo OcultoManipulación de Oráculos Apoya Estrategia de Préstamo InstantáneoScallop Reanuda Operaciones Tras RevisiónEl incidente involucró aproximadamente 150,000 SUI y pareció basarse en manipulación de oráculos y una variable de recompensa no inicializada. Scallop afirmó que su protocolo principal permaneció seguro, los depósitos de los usuarios siguieron seguros y la pérdida se limitó a un contrato aislado.

Contrato Obsoleto Expone Riesgo Oculto

El exploit de Scallop no apuntó a su sistema principal de préstamos ni al código del protocolo actual. En cambio, el atacante interactuó con un contrato V2 más antiguo de noviembre de 2023 que seguía accesible en la cadena a pesar de estar obsoleto. El diseño de paquetes inmutables de Sui permite que las versiones de contratos desplegadas permanezcan accesibles, lo que convirtió el código abandonado en una superficie de ataque inadvertida.

Los analistas de seguridad dijeron que el contrato contenía un fallo sutil pero grave. Cuando se añadía una nueva cuenta al pool de recompensas, la variable llamada last_index no se inicializaba. Esa brecha permitió que el atacante pareciera elegible para recompensas acumuladas desde que comenzó el pool.

El índice de recompensas había crecido rápidamente en unos 20 meses. Después de apostar 136,000 sSUI, el atacante recibió crédito por 162 billones de puntos de recompensa. Dado que el pool utilizaba una tasa de cambio de recompensa uno a uno, esos puntos se convirtieron en aproximadamente 162,000 SUI. El pool solo tenía 150,000 SUI, por lo que el atacante drenó el saldo disponible.

Manipulación de Oráculos Apoya Estrategia de Préstamo Instantáneo

Los analistas también señalaron la manipulación de las feeds de precios personalizadas del oráculo de Scallop. Se informó que el atacante redujo las tasas de SUI y USDC, tomó prestados activos a precios distorsionados y devolvió el préstamo instantáneo en la misma transacción. La diferencia restante se convirtió en ganancia para el atacante.

La transacción siguió un patrón conocido de explotación en DeFi, pero su ejecución pareció altamente dirigida. El atacante evitó rutas activas y caminos estándar de SDK, y luego usó código antiguo que aún tenía acceso en la cadena. Datos en la cadena mostraron posteriormente que los fondos robados se movieron a través de un servicio de mezcla basado en Sui, lo que podría complicar los esfuerzos de recuperación.

🚨 Scallop afectado por exploit de préstamo instantáneo en Sui, pierde $142,000 en ataque de manipulación de oráculos

DETALLES 👇

¿QUÉ PASÓ?

El 26 de abril de 2026, el protocolo de préstamos de Scallop sufrió un exploit de préstamo instantáneo dirigido a un contrato lateral obsoleto relacionado con su pool de recompensas sSUI

… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26 de abril de 2026

Scallop Reanuda Operaciones Tras Revisión

Scallop pausó la actividad tras detectar el exploit, y luego descongeló sus contratos principales. El equipo dijo que los depósitos y retiros se reanudaron normalmente y enfatizó que el problema no afectó los fondos de los usuarios. Se informó que el atacante contactó a Scallop y ofreció devolver el 80 por ciento de los fondos a cambio de una recompensa de white-hat.

El caso se suma a un abril difícil para la seguridad en DeFi. Varios incidentes importantes este mes provinieron de contratos antiguos, adaptadores y capas de infraestructura en lugar de los sistemas centrales del protocolo. Las pérdidas reportadas en los incidentes de abril superaron los $600 millones a mediados de mes, con Kelp DAO y Drift Protocol contribuyendo a la mayor parte del daño. El caso de Scallop muestra cómo el código no utilizado aún puede crear riesgos en vivo. También destaca por qué los equipos deben rastrear cada paquete desplegado, no solo la última versión auditada.