La red Sui sufre un exploit de seis cifras y el protocolo Scallop pierde más de 140 000 dólares a manos de los piratas informáticos

Una plataforma de préstamos DeFi que opera en Sui Network, Scallop Protocol, sufrió una violación de seguridad que resultó en el robo de aproximadamente $142,000 en tokens SUI el domingo luego de una explotación de un contrato inteligente de recompensas heredado. 🚨 AVISO DE INCIDENTE DE SEGURIDAD Hemos identificado un exploit que afecta un contrato secundario relacionado con el grupo de recompensas de sSUI de Scallop, lo que resulta en una pérdida de aproximadamente 150 000 SUI. El contrato afectado ha sido congelado. Nuestros contratos principales permanecen seguros y solo el grupo de recompensas sSUI... - Scallop (@Scallop_io) 26 de abril de 2026 El incidente de seguridad ocurrió el 26 de abril de 2026, y Scallop hizo pública la violación a las 12:50 UTC a través de un anuncio en X (anteriormente Twitter). En lugar de comprometer la infraestructura del protocolo principal, el perpetrador centró su ataque en un contrato auxiliar obsoleto conectado al spool sSUI de Scallop, un mecanismo de distribución de recompensas diseñado para depositantes de tokens SUI. El contrato inteligente vulnerable era un paquete de spool V2 que se implementó en noviembre de 2023, por lo que tenía más de 17 meses en el momento de la explotación. En la red Sui, los contratos inteligentes se vuelven inmutables una vez implementados. Las versiones anteriores permanecen activas y accesibles a menos que los desarrolladores implementen restricciones de acceso explícitas basadas en versiones. Esta característica arquitectónica permitió que el contrato heredado persistiera como una vulnerabilidad explotable. La debilidad crítica de seguridad se centró en una variable no inicializada llamada "last_index". Este parámetro está diseñado para monitorear las recompensas acumuladas para los participantes en el sistema de apuestas. Dado que esta variable nunca se inicializó correctamente durante la creación de una nueva cuenta, el atacante podría unirse al grupo y extraer recompensas como si hubiera participado desde el principio. El actor malicioso apostó aproximadamente 136.000 tokens sSUI. Durante los 20 meses anteriores, el índice spool había acumulado aproximadamente 1,19 mil millones. Esta discrepancia permitió al atacante asignarse aproximadamente 162 billones de puntos de recompensa. Dado que el sistema de distribución de recompensas operaba con una relación de intercambio de uno a uno, el saldo total de 150.000 SUI se extrajo en una sola transacción de blockchain. Los registros de blockchain muestran el hash de transacción 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL que documenta el retiro en cadena. Tras el robo, los activos robados se transfirieron rápidamente a través de un protocolo mixto centrado en la privacidad en Sui, comparable a Tornado Cash, lo que complicó significativamente los esfuerzos de recuperación. El equipo de desarrollo de Scallop actuó rápidamente para congelar el contrato comprometido a los pocos minutos de detectar el exploit. Es importante destacar que no se suspendió la infraestructura básica de préstamos y endeudamiento. Los depósitos de clientes en todos los demás mercados de Scallop permanecieron totalmente protegidos. El liderazgo del protocolo confirmó que absorberían el 100% de la pérdida financiera utilizando las reservas del tesoro. No se producirá ninguna reducción en las tasas de rendimiento de los usuarios como resultado de este incidente. A las 14:42 UTC, Scallop había reactivado los contratos primarios. La funcionalidad estándar de retiro y depósito volvió a su funcionamiento normal en menos de dos horas desde la infracción inicial. Posteriormente, el atacante inició contacto con el equipo de desarrollo y propuso devolver el 80% de los fondos robados a cambio de ser reconocido como un hacker de sombrero blanco con una recompensa asociada. Actualmente, el equipo está examinando cómo esta vulnerabilidad eludió la detección durante auditorías de seguridad anteriores realizadas por OtterSec y MoveBit. Esta violación de seguridad se produjo inmediatamente después de un exploit comparable dirigido al protocolo Volo a principios de este mes, que resultó en aproximadamente $ 3,5 millones en pérdidas. Ambos incidentes explotaron la infraestructura contractual periférica en lugar de los mecanismos de protocolo centrales. En abril de 2026 se produjeron más de 600 millones de dólares en robos de criptomonedas en 12 incidentes de seguridad importantes. A mediados de abril, las pérdidas acumuladas del mes habían superado los 750 millones de dólares. Kelp DAO y Drift Protocol juntos representaron aproximadamente el 95% de las pérdidas totales de abril. El ataque a Kelp generó de forma independiente 177 millones de dólares en deudas incobrables en la plataforma de préstamos Aave. El equipo de Scallop aún no ha publicado un análisis exhaustivo posterior al incidente. Han anunciado planes para una revisión de seguridad exhaustiva de todos los paquetes de contratos heredados restantes. Al momento de esta publicación, ni la Fundación Sui ni Mysten Labs han emitido una declaración oficial sobre el incidente de seguridad.