Scallop Protocol perdió $142K en un préstamo flash combinado con un ataque de manipulación de oracle

Scallop Protocol fue víctima de un exploit de préstamo flash el domingo. El atacante supuestamente drenó alrededor de $142,000 (150,000 SUI) en lo que parece ser un ataque de manipulación de oracle altamente dirigido. Este ataque no tocó los contratos principales del protocolo, pero expuso un fallo de diseño más profundo.

Un atacante supuestamente explotó un contrato secundario obsoleto vinculado al pool de recompensas sSUI de Scallop. Su equipo asegura que el protocolo principal permanece intacto y que todos los depósitos de los usuarios están seguros. Sin embargo, la pérdida está completamente contenida en esa parte aislada.

¿Código antiguo o fallo del oracle?

Los analistas sugieren que el problema principal fue la manipulación de los feeds de precios del oracle personalizado de Scallop. Esto permitió al atacante deprimir artificialmente las tasas SUI/USDC y pedir prestados activos a esos precios distorsionados. Luego reembolsó el préstamo flash dentro de la misma transacción. Al final, el sospechoso se marchó con la diferencia.

Esto sigue un patrón de ataque DeFi familiar; sin embargo, la ejecución en este evento fue inusualmente precisa. El atacante no apuntó al código activo ni a las rutas SDK estándar. Interactuó con un contrato V2 más antiguo de noviembre de 2023. Era una versión que había sido dejada pero que permanecía invocable en la cadena. Sui mantiene todas las versiones de contratos desplegados inmutables y accesibles. Por eso este paquete obsoleto se convirtió en una superficie de ataque oculta.

El precio de Sui no se ha visto afectado tras el exploit. Ha subido casi un 2% en las últimas 24 horas. Sui cotiza a $0.94 en el momento de publicación. Su volumen de operaciones en 24 horas ronda los $187 millones.

Un experto mencionó en una publicación que el fallo en sí era sutil pero grave. En el contrato obsoleto, una variable clave "last_index" nunca fue inicializada al crear una nueva cuenta. Esto permitió al atacante reclamar recompensas como si hubiera estado en staking desde el inicio del pool.

Con el índice de recompensas habiendo crecido con el tiempo, el atacante logró acreditarse con todo el pool de recompensas en una sola transacción. Mencionó que el índice de Spool creció hasta 1.19B en 20 meses. 

El atacante apostó 136K sSUI y fue acreditado con 162 billones de puntos. Sin embargo, el pool de recompensas tenía una tasa de cambio 1:1 (numerador y denominador ambos = 1), por lo que 162T puntos se convirtieron directamente en recompensas equivalentes a 162K SUI. El pool solo tenía 150K SUI y todos fueron drenados.

Los datos en la cadena muestran que los fondos robados fueron rápidamente canalizados a través de un servicio de mezcla, similar a Tornado Cash en Sui. Esto hace que la recuperación sea aún más difícil.

Scallop vuelve a estar en línea tras el hackeo

El equipo de Scallop respondió pausando temporalmente las operaciones. Luego informó que han descongelado los contratos principales y que todas las operaciones se han reanudado. Una publicación en X destacó que el problema no estaba relacionado con el protocolo principal y estaba aislado en un contrato de recompensas obsoleto. Al final, los depósitos de los usuarios no se vieron afectados y todos los fondos permanecen seguros. Los retiros y depósitos ahora funcionan con normalidad.

El atacante supuestamente contactó al equipo y ofreció devolver el 80% de los fondos a cambio de una recompensa white-hat. El incidente está siendo investigado actualmente. El equipo verificará cómo el fallo pasó por las auditorías previas realizadas por empresas como OtterSec y MoveBit.

Cryptopolitan informó que muchos de los principales incidentes de abril de 2026 no provienen de la lógica central del protocolo. Surgieron de contratos antiguos, adaptadores o capas de infraestructura que permanecen accesibles pero ignoradas. Las pérdidas acumuladas superaron los $750 millones a mediados de abril. Solo en abril de 2026 se han contabilizado más de $600 millones en fondos robados en 12 incidentes importantes. 

Kelp DAO y Drift Protocol, en conjunto, representan aproximadamente el 95% de las pérdidas de abril. El ataque a Kelp resultó en $177 millones en deuda incobrable en Aave. Mientras tanto, el Consejo de Seguridad de Arbitrum congeló exitosamente 30,766 ETH (valorados en aproximadamente $71 millones) de los fondos robados.

Hyperliquid sigue siendo el mayor token en la categoría DeFi. El precio de HYPE ha subido un 10% en los últimos 30 días. Cotiza a $41.95 en el momento de publicación. Chainlink ocupa el 2º puesto. LINK cotizaba alrededor de $9.4.

Tu banco está usando tu dinero. Tú te quedas con las migajas. Mira nuestro video gratuito sobre cómo convertirte en tu propio banco