Scallop, un protocolo de préstamos en la red Sui, se comprometió a reembolsar totalmente a los usuarios después de que un exploit drenara 150.000 tokens SUI, con un valor aproximado de 142.000 dólares, de un contrato de recompensas obsoleto el 26 de abril.
"Scallop cubrirá íntegramente el 100% de la pérdida", afirmó el mercado monetario en un comunicado en X, añadiendo que las operaciones principales se reanudaron en menos de dos horas.
La vulnerabilidad se rastreó hasta un paquete de spool V2 de 17 meses de antigüedad, publicado en noviembre de 2023, que contenía un contador last_index no inicializado. Al hacer staking de aproximadamente 136.000 sSUI, el atacante pudo manipular el contrato para reclamar recompensas como si la posición hubiera existido desde agosto de 2023, drenando todo el fondo de recompensas. Los fondos principales de préstamo y crédito no se vieron afectados.
El exploit subraya una vulnerabilidad persistente en el sector DeFi, donde los contratos inteligentes inmutables y obsoletos pueden convertirse en superficies de ataque olvidadas. Este incidente sigue a un exploit similar de 3,5 millones de dólares en Volo Protocol en Sui y contribuye a un mes en el que los hacks de DeFi ya han superado los 600 millones de dólares, lo que plantea interrogantes sobre la auditoría y la gestión del ciclo de vida del código blockchain en toda la industria.
El ataque, capturado en el hash de transacción 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL, no comprometió la infraestructura de préstamos principal de Scallop ni los depósitos de los usuarios. El equipo congeló el contrato afectado a las 12:50 UTC y había restaurado todos los servicios a las 14:42 UTC.
Un análisis independiente reveló que el error se centraba en que el contrato obsoleto trataba el nuevo stake del atacante como si hubiera estado ganando recompensas durante 20 meses. Esto permitió al explotador reclamar una cantidad desproporcionada de recompensas, canjeándolas por los 150.000 SUI mantenidos en el pool. El incidente ha llamado la atención sobre los riesgos de dejar activos en la cadena contratos antiguos y no utilizados, pero que aún se pueden invocar, un desafío particular para las blockchains inmutables como Sui.
El incidente de Scallop es el último de una serie de exploits en la red Sui, incluida la reciente pérdida de 3,5 millones de dólares en Volo Protocol, que también involucró un contrato periférico. Abril de 2026 ha sido un mes brutal para la seguridad de DeFi, con pérdidas totales por hackeos que superan los 606 millones de dólares en 13 incidentes. Esto encamina a abril a ser uno de los peores meses para la seguridad de DeFi, recordando incidentes importantes como el evento de pérdida de paridad de 292 millones de dólares de Kelp DAO en Aave.
Tras el exploit, según se informa, el atacante se puso en contacto con el equipo de Scallop, proponiendo devolver el 80% de los fondos robados a cambio de una recompensa de sombrero blanco (white-hat). El equipo también está revisando cómo se pasó por alto la vulnerabilidad a pesar de las auditorías de seguridad previas realizadas por firmas como OtterSec y MoveBit. Ni la Fundación Sui ni Mysten Labs han emitido una declaración pública al respecto.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
