Las vulnerabilidades en códigos obsoletos dejan tambaleantes a las plataformas financieras descentralizadas, con casi 606 millones de dólares desapareciendo en una serie de violaciones de alto perfil este mes.

Scallop, el protocolo de préstamos más grande de Sui, sufrió un exploit el 26 de abril de 2026, lo que resultó en aproximadamente $140,000 en pérdidas. El ataque tuvo como objetivo un contrato de recompensas obsoleto en lugar del protocolo central en sí. Tras la infracción, el equipo de Scallop congeló los contratos afectados, identificó la vulnerabilidad y restableció las operaciones. Los depósitos de los usuarios no se vieron afectados durante el incidente. El evento se suma a una lista creciente de exploits DeFi registrados solo en abril de 2026. El exploit Scallop no violó la infraestructura principal del protocolo. En cambio, el atacante encontró una apertura en un contrato de recompensas antiguo y no utilizado. Esta distinción es importante, ya que muestra cómo el código heredado puede convertirse en un problema con el tiempo. Los protocolos suelen retirar ciertos componentes sin eliminarlos por completo de la red. 🚨 AVISO DE INCIDENTE DE SEGURIDAD Hemos identificado un exploit que afecta un contrato secundario relacionado con el grupo de recompensas de sSUI de Scallop, lo que resulta en una pérdida de aproximadamente 150 000 SUI. El contrato afectado ha sido congelado. Nuestros contratos principales permanecen seguros y solo el grupo de recompensas sSUI… - Scallop (@Scallop_io) 26 de abril de 2026 Scallop había completado una auditoría completa realizada por la Fundación Sui en febrero de 2025. A pesar de esa revisión, el contrato obsoleto seguía siendo un eslabón débil. El criptoanalista Crypto Patel señaló en X que "auditado no significa seguro", señalando a Scallop y Kelp DAO como ejemplos. Kelp DAO perdió 292 millones de dólares a pesar de pasar dos auditorías distintas antes de su infracción. El equipo de Scallop respondió rápidamente aislando el error y pausando los contratos relacionados. Las operaciones se reanudaron poco después y el equipo confirmó que ningún fondo de los usuarios estaba en riesgo. La rápida respuesta ayudó a contener el daño únicamente al componente obsoleto. Aún así, el incidente llamó la atención sobre cómo los contratos antiguos se utilizan cada vez más como vectores de ataque. Este patrón se ha vuelto más común en todo el ecosistema Sui en los últimos meses. Los desarrolladores e investigadores de seguridad han comenzado a señalar los contratos no utilizados como una preocupación creciente. Los protocolos que dejan activos componentes obsoletos sin una desactivación adecuada enfrentan un riesgo elevado. El caso Scallop sirve como punto de referencia práctico para esa conversación en curso. Abril de 2026 ha demostrado ser un mes difícil para el sector DeFi en general. Las pérdidas de la industria han superado los 606 millones de dólares, lo que lo convierte en el peor mes desde el incidente de Bybit. El exploit Scallop es la decimotercera violación de DeFi registrada este mes. Esa frecuencia apunta a un desafío sistémico que enfrentan las plataformas financieras descentralizadas. La red Sui, en particular, ha sufrido repetidos incidentes durante el año pasado. Cetus DEX perdió 223 millones de dólares en mayo de 2025, seguido por el Protocolo Nemo que perdió 2,4 millones de dólares en septiembre de 2025. El Protocolo Volo recibió 3,5 millones de dólares el 22 de abril de 2026, pocos días antes de la violación de Scallop. Estos incidentes reflejan un patrón de vulnerabilidad recurrente en los protocolos basados ​​en Sui. La gestión de riesgos se ha convertido en un tema apremiante entre los participantes de DeFi. Crypto Patel recomendó evitar los contratos obsoletos y retirar las recompensas con regularidad en lugar de dejarlos inactivos. Distribuir fondos en múltiples protocolos en lugar de concentrarlos en una plataforma también reduce la exposición. Monitorear los anuncios del protocolo oficial antes de realizar depósitos agrega otra capa de protección. La comunidad DeFi en general continúa examinando cómo se pueden fortalecer los procesos de auditoría. Pasar una auditoría no garantiza que un protocolo esté libre de código explotable, especialmente en componentes heredados. Las revisiones de seguridad continuas que cubren contratos obsoletos se están convirtiendo en una práctica recomendada. Es probable que los acontecimientos de abril de 2026 definan la forma en que los protocolos abordarán la gestión del ciclo de vida de los contratos en el futuro.