A Scallop, um mercado monetário da Sui Network, perdeu cerca de 150 mil SUI neste domingo após um invasor esvaziar um contrato de recompensas obsoleto vinculado ao spool sSUI do protocolo.
A equipe congelou o contrato afetado em poucos minutos e prometeu o reembolso integral por meio do próprio caixa. As operações principais foram retomadas em menos de duas horas.
Novo exploit na Sui atinge código periférico, não o protocolo principal
A Scallop divulgou o incidente às 9h50 (horário de Brasília) de 26 de abril, por meio de um comunicado público no X. O invasor mirou um contrato auxiliar responsável por recompensas do spool sSUI, camada de incentivo para quem deposita SUI na plataforma.
O contrato foi congelado na hora, de acordo com a equipe. Os pools principais de empréstimo e empréstimo permanecem intactos. Os depósitos dos usuários ficaram protegidos em todos os outros mercados da Scallop.
Duas horas depois, a Scallop confirmou a liberação dos contratos principais. Saques e depósitos voltaram ao normal às 11h42 (horário de Brasília).
A maior parte dos usuários da Sui Network não teve impacto com os fatos do período da manhã.
“A Scallop irá cobrir integralmente 100% da perda”, destacou o mercado monetário em comunicado.
Código antigo de pacote de 2023 originou o exploit
Análises independentes on-chain apontam o pacote V2 obsoleto do spool como porta de entrada. A Scallop publicou esse código em novembro de 2023, mais de 17 meses antes do ataque. Na Sui, pacotes implantados são imutáveis. Versões antigas continuam acessíveis, salvo bloqueio explícito por versão.
O erro estava concentrado em um contador last_index não inicializado, responsável por contabilizar recompensas acumuladas para stakers. O invasor apostou cerca de 136 mil sSUI para explorar a falha.
O cálculo tratou a posição como se existisse desde o lançamento do spool, em agosto de 2023.
O índice do spool chegou a aproximadamente 1,19 bilhão em 20 meses. Isso permitiu ao explorador colher cerca de 162 trilhões de pontos de recompensa. Eles foram trocados na proporção de um para um por 150 mil SUI do pool de recompensas.
O hash da transação 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL registra a evidência on-chain do ataque.
Padrão já visto em DeFi na Sui
O ocorrido segue outros exploits na Sui nas últimas semanas. O Volo Protocol perdeu cerca de US$ 3,5 milhões no início do mês em incidente parecido, também em contratos auxiliares, não na estrutura principal do protocolo.
A situação ocorre uma semana após um grande problema envolvendo bridge no Ethereum, que gerou cerca de US$ 292 milhões em tokens de restaking sem lastro. Ambos os ataques ocorreram em finais de semana, períodos de menor liquidez e resposta mais lenta.
Nem a Sui Foundation nem a Mysten Labs emitiram comunicado público sobre o caso.
No entanto, para a Scallop, o prejuízo financeiro aparenta estar controlado. O protocolo informou que irá absorver toda a perda, sem afetar os rendimentos dos usuários.
A equipe não publicou uma análise pós-morte completa até o momento, mas uma auditoria abrangente de todos os pacotes legados remanescentes deve orientar a resposta mais ampla do ecossistema DeFi da Sui.
O debate central é como os desenvolvedores da Sui devem gerenciar códigos imutáveis e superfícies de ataque esquecidas.
