Pesan Gate News, 26 April — Scallop Protocol, sebuah platform pinjaman di blockchain Sui, mengalami eksploit flash loan yang menargetkan kontrak sisi (side contract) yang sudah tidak digunakan (deprecated) dan terhubung dengan kumpulan imbalan sSUI miliknya, sehingga mengakibatkan kerugian sekitar $142,000 (150,000 SUI). Serangan tersebut mengeksploitasi manipulasi oracle price feed untuk secara artifisial menekan nilai tukar SUI/USDC dan meminjam aset pada harga yang terdistorsi, dengan penyerang membayar kembali flash loan dalam transaksi yang sama dan mengantongi selisihnya.
Masalah utamanya berasal dari kontrak V2 yang sudah tidak digunakan (deprecated) yang dideploy pada November 2023 namun tetap dapat dipanggil di rantai (on-chain). Di kontrak yang ketinggalan zaman ini, sebuah variabel kritis bernama “last_index” tidak pernah diinisialisasi saat akun baru dibuat. Kekurangan ini memungkinkan penyerang mengklaim imbalan seolah-olah mereka telah melakukan staking sejak awal kumpulan tersebut. Dengan indeks imbalan yang tumbuh menjadi 1,19 miliar selama 20 bulan, penyerang melakukan staking 136.000 sSUI namun menerima kredit untuk 162 triliun poin. Karena kumpulan imbalan beroperasi pada nilai tukar 1:1, poin tersebut dikonversi langsung menjadi 162.000 SUI senilai imbalan. Kumpulan tersebut hanya berisi 150.000 SUI, dan seluruh dana berhasil dikuras. Data on-chain menunjukkan dana yang dicuri segera dialirkan melalui layanan pencampur (mixing service), sehingga upaya pemulihan menjadi semakin rumit.
Tim Scallop merespons dengan menghentikan operasi sementara sebelum membekukan kembali kontrak-kontrak inti dan melanjutkan semua operasi. Protokol tersebut mengonfirmasi bahwa eksploit tersebut terisolasi pada kontrak imbalan yang sudah tidak digunakan (deprecated) dan tidak memengaruhi protokol inti atau setoran pengguna, dengan semua dana tetap aman. Penyerang kemudian menghubungi tim dengan menawarkan untuk mengembalikan 80% dari dana yang dicuri sebagai imbalan atas bounty white-hat, dan insiden ini kini sedang diselidiki. Tim akan meninjau bagaimana celah tersebut lolos deteksi pada audit sebelumnya oleh perusahaan termasuk OtherSec dan MoveBit.
Harga SUI tetap tangguh setelah eksploit, naik sekitar 2% dalam 24 jam setelah serangan dan diperdagangkan pada $0,94 dengan volume perdagangan harian sekitar $187 juta. Insiden ini mencerminkan tren yang lebih luas pada April 2026, di mana eksploit DeFi besar telah menargetkan kontrak dan lapisan infrastruktur yang sudah tidak digunakan (deprecated) alih-alih logika protokol inti, dengan kerugian kumulatif melebihi $600 juta di 12 insiden besar selama bulan tersebut.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Robinhood Peringatkan Email Phishing yang Dikirim ke Sebagian Pelanggan
Berita Gate, 27 April — Robinhood memberi tahu pengguna di media sosial bahwa beberapa pelanggan menerima email penipuan pada Minggu malam lalu yang mengaku berasal dari noreply@robinhood.com dengan baris subjek "Your recent login to Robinhood."
Upaya phishing tersebut berawal dari penyalahgunaan proses pembuatan akun, bukan dari adanya pelanggaran pada sistem perusahaan atau akun pelanggan. Robinhood mengonfirmasi bahwa informasi pribadi dan dana pelanggan tidak terpengaruh.
GateNews2menit yang lalu
Pertukaran Kripto Websea Diduga Lakukan Penipuan Kabur, Kanal Penarikan Ditutup
Pesan Berita Gate, 27 April — Platform perdagangan kripto Websea telah menghentikan penarikan dan menutup kanal C2C (peer-to-peer)-nya, dengan banyak pengguna melaporkan bahwa pertukaran tersebut tampaknya telah melakukan penipuan kabur. Platform ini awalnya membatasi penarikan sebelum akhirnya sepenuhnya menutup kanal C2C tersebut, menyebabkan kepanikan jual dari token asli platform ke sekitar 50% dari nilai sebelumnya.
GateNews32menit yang lalu
Token RAVE Melonjak 110x dalam Dua Minggu, Lalu Anjlok 98% di Tengah Tuduhan Manipulasi Pasar
Berita Gerbang, 27 April — RAVE, token asli RaveDAO (dari proyek komunitas budaya berbasis Web3), melonjak 110x dalam dua minggu sebelum anjlok 98% selama dua hari pada 19-20 April, memicu perbandingan dengan skandal manipulasi saham Lubo yang terkenal pada 2007 di Korea Selatan.
Pada 18 April, RAVE r
GateNews3jam yang lalu
Penelitian Mengungkap: Pemain Polymarket 3% meraih keuntungan hingga 30%, lebih dari 70% pemain menyerap seluruh kerugian
Studi penelitian baru menganalisis catatan transaksi Polymarket 2023–2025, yang menunjukkan hanya 3,14% dari para pemenang yang terampil menguasai lebih dari 30% dari keuntungan; kontribusi kerumunan tidak cukup untuk menjelaskan akurasi keseluruhan. Sementara itu, melacak 1.950 akun perdagangan orang dalam yang sangat mencurigakan; meskipun tidak memimpin prediksi, mereka memperbesar volatilitas harga. Kasus ini menunjukkan bahwa di AS, sebelum pengumuman mengenai perkembangan Venezuela diumumkan, dilakukan taruhan besar dan memperoleh keuntungan. Penelitian ini mempertanyakan kebijaksanaan kerumunan, dan menekankan perlunya regulasi yang semakin ketat.
ChainNewsAbmedia4jam yang lalu
Prancis 2026, investor kripto menjadi korban penculikan lebih dari 40 kasus, terkait kebocoran data perpajakan
Menurut Market Forces Africa pada 27 April, insiden penculikan dan serangan kekerasan terhadap investor kripto di Prancis meningkat tajam. Pendiri Telegram Pavel Durov menyebut di platform X bahwa sejak awal 2026, ia telah mencatat 41 kasus penculikan investor kripto, rata-rata terjadi satu kali setiap 2,5 hari, serta terkait dengan kebocoran data pajak Prancis.
MarketWhisper4jam yang lalu
