Pesan Gate News, 26 April — Scallop Protocol, sebuah platform pinjaman di blockchain Sui, mengalami eksploit flash loan yang menargetkan kontrak sisi (side contract) yang sudah tidak digunakan (deprecated) dan terhubung dengan kumpulan imbalan sSUI miliknya, sehingga mengakibatkan kerugian sekitar $142,000 (150,000 SUI). Serangan tersebut mengeksploitasi manipulasi oracle price feed untuk secara artifisial menekan nilai tukar SUI/USDC dan meminjam aset pada harga yang terdistorsi, dengan penyerang membayar kembali flash loan dalam transaksi yang sama dan mengantongi selisihnya.
Masalah utamanya berasal dari kontrak V2 yang sudah tidak digunakan (deprecated) yang dideploy pada November 2023 namun tetap dapat dipanggil di rantai (on-chain). Di kontrak yang ketinggalan zaman ini, sebuah variabel kritis bernama “last_index” tidak pernah diinisialisasi saat akun baru dibuat. Kekurangan ini memungkinkan penyerang mengklaim imbalan seolah-olah mereka telah melakukan staking sejak awal kumpulan tersebut. Dengan indeks imbalan yang tumbuh menjadi 1,19 miliar selama 20 bulan, penyerang melakukan staking 136.000 sSUI namun menerima kredit untuk 162 triliun poin. Karena kumpulan imbalan beroperasi pada nilai tukar 1:1, poin tersebut dikonversi langsung menjadi 162.000 SUI senilai imbalan. Kumpulan tersebut hanya berisi 150.000 SUI, dan seluruh dana berhasil dikuras. Data on-chain menunjukkan dana yang dicuri segera dialirkan melalui layanan pencampur (mixing service), sehingga upaya pemulihan menjadi semakin rumit.
Tim Scallop merespons dengan menghentikan operasi sementara sebelum membekukan kembali kontrak-kontrak inti dan melanjutkan semua operasi. Protokol tersebut mengonfirmasi bahwa eksploit tersebut terisolasi pada kontrak imbalan yang sudah tidak digunakan (deprecated) dan tidak memengaruhi protokol inti atau setoran pengguna, dengan semua dana tetap aman. Penyerang kemudian menghubungi tim dengan menawarkan untuk mengembalikan 80% dari dana yang dicuri sebagai imbalan atas bounty white-hat, dan insiden ini kini sedang diselidiki. Tim akan meninjau bagaimana celah tersebut lolos deteksi pada audit sebelumnya oleh perusahaan termasuk OtherSec dan MoveBit.
Harga SUI tetap tangguh setelah eksploit, naik sekitar 2% dalam 24 jam setelah serangan dan diperdagangkan pada $0,94 dengan volume perdagangan harian sekitar $187 juta. Insiden ini mencerminkan tren yang lebih luas pada April 2026, di mana eksploit DeFi besar telah menargetkan kontrak dan lapisan infrastruktur yang sudah tidak digunakan (deprecated) alih-alih logika protokol inti, dengan kerugian kumulatif melebihi $600 juta di 12 insiden besar selama bulan tersebut.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Peretas Korea Utara Mencuri $600M pada Bulan April dari Drift Protocol dan Menyerang Kelp DAO
Menurut TRM Labs, peretas yang terkait Korea Utara mencuri sekitar $600 juta dalam bentuk kripto pada bulan April dari serangan terhadap Drift Protocol dan Kelp DAO, yang menyumbang 76% dari total kerugian bulan tersebut. Laporan tersebut memperkirakan bahwa sejak 2017, peretas yang terkait dengan Korea Utara telah mencuri lebih dari $6 miliar
GateNews3jam yang lalu
Syndicate Kehilangan $380K dalam Aset karena Kebocoran Kunci Privat, Kontrak Bridge Ditingkatkan Secara Jahat pada 1 Mei
Menurut pernyataan resmi Syndicate pada 1 Mei, kebocoran private key menyebabkan upgrade kontrak jembatan yang berbahaya di dua blockchain, yang mengakibatkan pencurian sekitar 18,5 juta token SYND (senilai 330 ribu dolar AS) dan $50K dalam aset pelanggan. Perusahaan mengaitkan kerentanan tersebut pada priva
GateNews4jam yang lalu
Peretas Korea Utara Menguras $285 Juta dari Drift dalam Operasi Panjang Berbulan-bulan
Menurut analisis firma riset intelijen keamanan, peretas yang didukung negara Korea Utara menguras 285 juta dolar AS dari Drift melalui operasi tatap muka yang berlangsung lama pada 2026. Peretas ini menyumbang 76% dari seluruh kerugian penipuan dan peretasan kripto tahun ini serta telah mencuri 6 miliar dolar AS
GateNews5jam yang lalu
Bursa Kripto Grinex Dikosongkan Senilai $13,7 Juta pada April 2026, Operasional Dihentikan
Berdasarkan investigasi Global Ledger yang dipublikasikan pada April 2026, Grinex, sebuah bursa mata uang kripto yang dikenai sanksi dan beroperasi dari Kyrgyzstan, dikuras senilai sekitar $13,7 juta dan langsung menghentikan operasional. Grinex muncul pada Maret 2025 sebagai pengganti yang tampak untuk Garantex, sebuah
GateNews8jam yang lalu
