Scallop Protocol kehilangan $142K dalam serangan flash loan yang digabungkan dengan manipulasi oracle

Scallop Protocol terkena eksploitasi flash loan pada hari Minggu. Penyerang dilaporkan menguras sekitar $142.000 (150.000 SUI) dalam serangan manipulasi oracle yang sangat terarah. Serangan ini tidak menyentuh kontrak inti protokol, tetapi mengungkap cacat desain yang lebih dalam.

Seorang penyerang dilaporkan mengeksploitasi kontrak sampingan yang sudah usang yang terhubung dengan kolam hadiah sSUI milik Scallop. Tim mereka menegaskan bahwa protokol inti tetap utuh dan semua deposit pengguna aman. Namun, kerugian sepenuhnya terbatas pada bagian yang terisolasi tersebut.

Kode lama atau cacat Oracle?

Para analis menyarankan bahwa masalah utamanya adalah manipulasi umpan harga oracle kustom milik Scallop. Hal ini memungkinkan penyerang untuk secara artifisial menekan nilai tukar SUI/USDC dan meminjam aset dengan harga yang terdistorsi tersebut. Kemudian flash loan dilunasi dalam transaksi yang sama. Pada akhirnya, tersangka pergi membawa selisihnya.

Ini mengikuti pola serangan DeFi yang sudah dikenal; namun, eksekusi dalam kejadian ini sangat presisi. Penyerang tidak menargetkan kode aktif atau rute SDK standar. Mereka berinteraksi dengan kontrak V2 lama dari November 2023. Ini adalah versi yang telah ditinggalkan tetapi masih dapat dipanggil di on-chain. Sui menjaga semua versi kontrak yang telah di-deploy tetap tidak dapat diubah dan dapat diakses. Itulah mengapa paket yang sudah usang ini menjadi permukaan serangan tersembunyi.

Harga Sui tidak terpengaruh setelah eksploitasi. Harganya naik hampir 2% dalam 24 jam terakhir. Sui diperdagangkan di $0,94 pada saat berita ini ditulis. Volume perdagangan 24 jamnya berada di sekitar $187 juta.

Seorang pakar dalam sebuah postingan menyebutkan bahwa cacat itu sendiri sangat halus namun serius. Dalam kontrak yang sudah usang tersebut, variabel kunci "last_index" tidak pernah diinisialisasi ketika akun baru dibuat. Hal ini memungkinkan penyerang untuk mengklaim hadiah seolah-olah mereka telah melakukan staking sejak awal kolam.

Dengan indeks hadiah yang terus berkembang dari waktu ke waktu, penyerang berhasil mengkreditkan diri mereka sendiri dengan seluruh kolam hadiah dalam satu transaksi. Ia menyebutkan bahwa indeks Spool tumbuh hingga 1,19 miliar selama 20 bulan. 

Penyerang melakukan staking 136K sSUI dan dikreditkan dengan 162 triliun poin. Namun, kolam hadiah menjalankan nilai tukar 1:1 (pembilang dan penyebut keduanya = 1), sehingga 162T poin dikonversi langsung menjadi hadiah senilai 162K SUI. Kolam hanya memiliki 150K SUI di dalamnya dan semuanya terkuras.

Data on-chain menunjukkan bahwa dana yang dicuri dengan cepat dialihkan melalui layanan mixing, mirip dengan Tornado Cash di Sui. Hal ini membuat pemulihan semakin sulit.

Scallop kembali online setelah diretas

Tim Scallop merespons dengan menghentikan operasi sementara. Kemudian dilaporkan bahwa mereka telah membuka pembekuan kontrak inti dan semua operasi telah dilanjutkan. Sebuah postingan X menyoroti bahwa masalah tersebut tidak terkait dengan protokol inti dan terisolasi pada kontrak hadiah yang sudah usang. Pada akhirnya, deposit pengguna tidak terpengaruh dan semua dana tetap aman. Penarikan dan penyetoran kini beroperasi secara normal.

Penyerang dilaporkan menghubungi tim dan menawarkan untuk mengembalikan 80% dana dengan imbalan bounty white-hat. Insiden ini kini sedang diselidiki. Tim akan memeriksa bagaimana cacat tersebut lolos dari audit sebelumnya oleh perusahaan seperti OtterSec dan MoveBit.

Cryptopolitan melaporkan bahwa banyak insiden besar April 2026 tidak berasal dari logika protokol inti. Mereka muncul dari kontrak lama, adapter, atau lapisan infrastruktur yang tetap dapat diakses tetapi diabaikan. Kerugian kumulatif melebihi $750 juta pada pertengahan April. April 2026 saja telah menyumbang lebih dari $600 juta dalam dana yang dicuri di 12 insiden besar. 

Kelp DAO dan Drift Protocol secara keseluruhan menyumbang sekitar 95% dari kerugian April. Serangan pada Kelp menghasilkan utang buruk senilai $177 juta di Aave. Sementara itu, Dewan Keamanan Arbitrum berhasil membekukan 30.766 ETH (senilai sekitar $71 juta) dari dana yang dicuri.

Hyperliquid masih menjadi token terbesar dalam kategori DeFi. Harga HYPE naik 10% dalam 30 hari terakhir. Diperdagangkan di $41,95 pada saat berita ini ditulis. Chainlink berada di posisi ke-2. LINK diperdagangkan sekitar $9,4.

Bank Anda menggunakan uang Anda. Anda hanya mendapatkan remahan. Tonton video gratis kami tentang cara menjadi bank Anda sendiri