El protocolo de préstamos descentralizados de Sui Network, Scallop, el 26 de abril (domingo) publicó un anuncio oficial en la plataforma X, confirmando que fue víctima de un ataque de vulnerabilidad. El atacante extrajo aproximadamente 150.000 SUI desde un contrato de recompensas abandonado asociado con sSUI spool. Según la declaración oficial, el fondo de liquidez central y los depósitos de los usuarios no se vieron afectados. El protocolo ya ha reanudado los retiros y depósitos, confirmando que compensará íntegramente todas las pérdidas con fondos de la empresa.
Línea de tiempo del evento y respuesta oficial de Scallop
De acuerdo con el anuncio de la plataforma oficial de X de Scallop (26 de abril 12:50 UTC), el objetivo del ataque era el contrato de recompensas subordinado del sSUI spool. Dicho contrato es la capa de incentivos del protocolo para los depositantes de SUI, y no la lógica central de préstamos. El equipo de Scallop congeló el contrato afectado en cuestión de minutos después de que ocurriera el incidente; el contrato central se congeló y se liberó en el plazo de dos horas, y las funciones de retiro y recarga se reanudaron a las 14:42 UTC.
La declaración oficial de Scallop afirma: «Scallop compensará el 100% del total de las pérdidas».
Análisis técnico de la vulnerabilidad: contador no inicializado del paquete abandonado de 2023
(Fuente: Vadim)
Según un análisis independiente on-chain, el punto de entrada del ataque fue el paquete V2 de s1pool abandonado implementado por Scallop en noviembre de 2023, con más de 17 meses desde que ocurrió este ataque. En la arquitectura técnica de Sui Network, los paquetes desplegados no se pueden modificar; a menos que se establezca explícitamente el control de versiones, las versiones antiguas aún pueden ser llamadas.
El atacante identificó un contador last_index no inicializado dentro del paquete, el cual se utiliza para rastrear las recompensas acumuladas de los participantes en staking. El atacante hizo staking de aproximadamente 136.000 sSUI; el sistema consideró esta posición como si hubiera existido desde que el spool se puso en marcha en agosto de 2023. Tras alrededor de 20 meses de acumulación exponencial, el índice del spool creció hasta aproximadamente 1.19 millones, lo que permitió al atacante obtener alrededor de 162 billones de puntos de recompensa, que posteriormente intercambió en una proporción 1:1 por 150.000 SUI.
El registro de la transacción on-chain puede consultarse mediante el hash: 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Registro de incidentes recientes de vulnerabilidades en Sui DeFi
Según reportes públicos, a principios de abril de 2026, el protocolo Volo en Sui Network sufrió un ataque similar. El objetivo también era un contrato subordinado y no la lógica central del protocolo; la pérdida fue de aproximadamente 3.5 millones de dólares. Además, aproximadamente una semana antes del ataque, en la red de Ethereum ocurrió un incidente de ataque de puente (bridge), en el que se sustrajeron tokens de re-staking con liquidez no garantizada por aproximadamente 292 millones de dólares.
Tanto Sui Foundation como Mysten Labs, al momento de la publicación de este informe, no habían emitido declaraciones públicas sobre el incidente de Scallop. Según la explicación oficial de Scallop, el protocolo planea realizar una auditoría integral de todos los paquetes antiguos existentes, y el calendario de auditoría aún está por determinarse.
Preguntas frecuentes
¿Cuándo ocurrió este ataque por vulnerabilidad y cuál fue la magnitud de las pérdidas?
De acuerdo con el anuncio de la plataforma oficial de X de Scallop, el ataque ocurrió el 26 de abril de 2026 (domingo) a las 12:50 UTC; el atacante extrajo aproximadamente 150.000 SUI desde el contrato de recompensas del sSUI spool abandonado. El fondo central de préstamos y los depósitos de los usuarios en otros mercados no se vieron afectados.
¿Qué compromisos oficiales hizo Scallop con respecto a este ataque?
Según la declaración oficial de Scallop, el protocolo congeló el contrato afectado en cuestión de minutos después del ataque y restauró completamente la funcionalidad de todas las operaciones a las 14:42 UTC (aproximadamente dos horas después de la publicación del anuncio). Scallop confirmó que compensará íntegramente todas las pérdidas con fondos de la empresa; los rendimientos de los usuarios no se verán afectados, y el protocolo planea realizar una auditoría integral de todos los paquetes antiguos existentes.
¿Cuál fue la causa técnica fundamental de esta vulnerabilidad y cómo se relaciona con la arquitectura técnica de Sui Network?
De acuerdo con el análisis independiente on-chain, la vulnerabilidad se originó en un contador last_index no inicializado dentro del paquete V2 de spool abandonado desplegado en noviembre de 2023. En Sui Network, los paquetes desplegados no se pueden modificar; a menos que se establezca explícitamente el control de versiones, las versiones antiguas aún pueden ser llamadas. Esto permitió al atacante explotar el código abandonado de hace más de 17 meses para extraer 150.000 SUI.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
孙宇晨称 TRON 为全球首个抗量子攻击网络,2026 年 Q3 主网上线
El fundador de TRON, Justin Sun, publicó en X el 26 de abril un anuncio en el que indicaba que TRON planea habilitar funciones de resistencia a ataques cuánticos en la red de pruebas en el segundo trimestre, y que el lanzamiento de la red principal se prevé para el tercer trimestre. En la publicación, Sun se refirió a este plan de actualización como «la primera red global resistente a los ataques cuánticos». Aunque la amenaza cuántica todavía se mantiene principalmente en el plano teórico, Ethereum, Solana y otras ya han dado a conocer planes o cronogramas de actualización para la criptografía poscuántica (PQC).
MarketWhisperHace4m
La recaudación de fondos DeFi United supera 10,2 mil ETH, AAVE rebota hasta los 100 dólares
Según la página oficial de DeFi United, el fondo de rescate multi-protocolo DeFi United, impulsado por proveedores de servicios de Aave, ha recaudado más de 102,000 ETH al 27 de abril, con el objetivo de cubrir el déficit de préstamos incobrables generado por el mercado de Aave V3 tras el incidente de ataque al puente entre cadenas de Kelp DAO del 18 de abril. AAVE superó temporalmente los 100 dólares y luego retrocedió.
MarketWhisperHace48m
La mainnet DPoS de Vcitychain se pone en marcha con un sistema de consenso desarrollado por la propia empresa
Mensaje de Gate News, 27 de abril — Vcitychain, una blockchain de grado comercial, lanzó oficialmente hoy su mainnet DPoS, pasando a un sistema de consenso de Delegated Proof of Stake (DPoS) desarrollado por la propia empresa.
La actualización tiene como objetivo mejorar el rendimiento de la red, aumentar la descentralización y mejorar la gobernanza de la cadena de bloques en línea con respecto a
GateNewsHace55m
ApeCoin Transfiere el Control del Juego a la Comunidad mientras Concluye la Temporada 3 de la Recompensa de Barbanegra
Mensaje de Gate News, 27 de abril — ApeCoin anunció que la temporada de la misión Bounty de Barbanegra ha finalizado oficialmente, aunque la capacidad para que los usuarios creen y completen tareas de recompensa seguirá activa. Al concluir la temporada, el control del juego se transfiere a la comunidad, con las futuras direcciones de desarrollo por determinar por los jugadores
GateNewsHace56m
El ecosistema FLOA lanza la suite de IA FloaClaw con una matriz de habilidades multi-escenario
Mensaje de Gate News, 27 de abril — El ecosistema FLOA ha lanzado oficialmente FloaClaw, su kit de herramientas de IA central, con una matriz de habilidades de IA multi-escenario. El acceso a las funciones de FloaClaw está limitado a usuarios Agent de nivel 3 o superior.
FloaClaw funciona con un sistema basado en tokens donde los usuarios compran
GateNewsHace56m
Aave Labs propone a Arbitrum: desbloquear 30765 ETH para compensar a las víctimas
Según la propuesta publicada el 25 de abril por Aave Labs en el foro de gobernanza de Arbitrum, Aave Labs exige que la organización autónoma descentralizada (DAO) de Arbitrum desbloquee 30,765 ETH relacionados con el ataque a Kelp DAO y transfiera los fondos mencionados al fondo de reactivación de «DeFi United» para restaurar el soporte de rsETH y compensar a los titulares.
MarketWhisperhace2h
