Domenica, Scallop Protocol è stato colpito da un exploit di tipo flash loan. L'attaccante avrebbe sottratto circa 142.000 dollari (150.000 SUI) in quello che sembra essere un attacco mirato di manipolazione dell'oracolo. Questo attacco non ha intaccato i contratti principali del protocollo, ma ha messo in luce una falla di progettazione più profonda.
Secondo alcune fonti, un hacker avrebbe sfruttato un contratto secondario obsoleto legato al pool di ricompense sSUI di Scallop. Il team di Scallop assicura che il protocollo principale rimarrà intatto e che tutti i depositi degli utenti sono al sicuro. Tuttavia, la perdita è circoscritta a quella specifica vulnerabilità.
Codice obsoleto o difetto di Oracle?
Gli analisti suggeriscono che il problema principale risiedesse nella manipolazione dei feed di prezzo personalizzati dell'oracolo di Scallop. Ciò ha permesso all'attaccante di abbassare artificialmente i tassi SUI/USDC e di prendere in prestito asset a quei prezzi distorti. Ha poi rimborsato il prestito flash con la stessa transazione. Alla fine, il sospettato si è appropriato della differenza.
Questo attacco segue uno schema tipico del settore DeFi; tuttavia, l'esecuzione in questo caso è stata insolitamente precisa. L'attaccante non ha preso di mira il codice attivo o le route standard dell'SDK, bensì ha interagito con un vecchio contratto V2 risalente a novembre 2023. Si trattava di una versione che era stata lasciata attiva ma che rimaneva comunque richiamabile on-chain. Sui mantiene immutabili e accessibili tutte le versioni dei contratti distribuiti. Ecco perché questo pacchetto obsoleto è diventato una vulnerabilità nascosta.
Il prezzo di Sui non ha subito cali in seguito all'attacco informatico. Nelle ultime 24 ore ha registrato un aumento di quasi il 2%. Al momento della stesura di questo articolo, Sui viene scambiato a 0,94 dollari. Il volume di scambi nelle ultime 24 ore si aggira intorno ai 187 milioni di dollari.
Un esperto, in un post, ha affermato che la falla era sottile ma grave. Nel contratto obsoleto, una variabile chiave "last_index" non veniva mai inizializzata alla creazione di un nuovo account. Ciò consentiva all'attaccante di reclamare le ricompense come se avesse partecipato allo staking fin dall'inizio del pool.
Poiché l'indice delle ricompense è cresciuto nel tempo, l'attaccante è riuscito ad accreditarsi l'intero montepremi in un'unica transazione. Ha affermato che l'indice Spool è cresciuto fino a 1,19 miliardi in 20 mesi.
L'attaccante ha messo in gioco 136.000 sSUI e gli sono stati accreditati 162 trilioni di punti. Tuttavia, il pool di ricompense aveva un tasso di cambio 1:1 (numeratore e denominatore entrambi = 1), quindi 162 trilioni di punti si convertivano direttamente in ricompense per un valore di 162.000 SUI. Il pool conteneva solo 150.000 SUI e sono stati tutti prelevati.
I dati on-chain mostrano che i fondi rubati sono stati rapidamente trasferiti tramite un servizio di mixing, simile a Tornado Cash su Sui. Ciò rende il recupero ancora più difficile.
Scallope torna online dopo l'attacco hacker.
Il team di Scallop ha risposto sospendendo temporaneamente le operazioni. Successivamente ha comunicato di aver sbloccato i contratti principali e che tutte le operazioni sono riprese. Un post su X ha evidenziato che il problema non era correlato al protocollo principale, ma era circoscritto a un contratto di ricompensa obsoleto. In definitiva, i depositi di tser non sono stati interessati e tutti i fondi sono rimasti al sicuro. Prelievi e depositi ora funzionano normalmente.
Scallop colpita da una vulnerabilità di flash loan su Sui, perde 142.000 dollari a causa di un attacco di manipolazione dell'oracolo.
DETTAGLI
QUELLO CHE È SUCCESSO?
Il 26 aprile 2026, il protocollo di prestito Scallop ha subito una vulnerabilità di tipo flash loan che ha preso di mira un contratto secondario obsoleto correlato al suo pool di ricompense sSUI spool.
— Sophia Hodlberg (@sophiaHodlberg) 26 aprile 2026
Secondo quanto riferito, l'attaccante ha contattato il team offrendosi di restituire l'80% dei fondi in cambio di una ricompensa per la segnalazione di vulnerabilità. L'incidente è ora oggetto di indagine. Il team verificherà come la falla abbia potuto superare i precedenti controlli di sicurezza effettuati da aziende come OtterSec e MoveBit.
Secondo quanto riportato da Cryptopolitan, molti dei principali incidenti di aprile 2026 non derivavano dalla logica principale del protocollo. Sono emersi da vecchi contratti, adattatori o livelli infrastrutturali che rimangono accessibili ma trascurati. Le perdite cumulative hanno superato i 750 milioni di dollari a metà aprile. Solo nel mese di aprile 2026 si sono registrati oltre 600 milioni di dollari di fondi rubati in 12 incidenti principali.
Kelp DAO e Drift Protocol, insieme, sono responsabili di circa il 95% delle perdite di aprile. L'attacco a Kelp ha causato un debito inesigibile di 177 milioni di dollari per Aave. Nel frattempo, il Consiglio di Sicurezza di Arbitrum è riuscito a congelare 30.766 ETH (per un valore di circa 71 milioni di dollari) dei fondi rubati.
Hyperliquid rimane il token più importante nella categoria DeFi. Il prezzo di HYPE è aumentato del 10% negli ultimi 30 giorni. Al momento della stesura di questo articolo, viene scambiato a 41,95 dollari. Chainlink si posiziona al secondo posto, con un prezzo di circa 9,4 dollari.
Le tue chiavi, la tua carta. Spendi senza rinunciare alla custodia e guadagna un rendimento superiore all'8% sul tuo saldo con Ether.fi Cash.