Recientemente, el incidente de pérdidas de Scallop merece atención. La mayor plataforma de préstamos de Sui fue atacada el 26 de abril, con una pérdida de aproximadamente 140,000 dólares. A simple vista, la cantidad no parece grande, pero los problemas subyacentes son mucho más preocupantes que los números en sí.

El enfoque de este ataque es muy interesante: no se dirigió al sistema de préstamos central de Scallop, sino que encontró una brecha en un contrato de recompensas que ya había sido abandonado. Es como si la puerta principal de una casa estuviera muy bien protegida, pero la puerta trasera vieja y descuidada fuera vulnerable. Los atacantes entraron por esa puerta olvidada.

Lo interesante es que Scallop completó una auditoría integral liderada por la Fundación Sui en febrero de 2025. Pero aun así, ese contrato desactivado se convirtió en un punto débil. Algunos analistas señalan que una auditoría no garantiza la seguridad; el ejemplo típico es Kelp DAO, que tras dos auditorías independientes perdió 292 millones de dólares.

La respuesta del equipo de Scallop fue adecuada: rápidamente aislaron la vulnerabilidad, suspendieron los contratos relacionados y los fondos de los usuarios no se vieron afectados. Pero este incidente revela un problema cada vez más común: en el ecosistema de Sui, cada vez hay más contratos antiguos que se usan como medio de ataque.

Lo que es aún más preocupante es la situación general en abril. Este mes, el sector DeFi registró 13 incidentes de seguridad, con pérdidas totales que superan los 606 millones de dólares, convirtiéndose en el mes más severo desde un gran incidente en un intercambio importante. La red Sui sufrió especialmente: Cetus perdió 223 millones de dólares en mayo de 2025, Nemo perdió 2.4 millones en septiembre, y Volo perdió 3.5 millones el 22 de abril. Estos eventos ocurrieron en rápida sucesión, lo que indica que no son fallos aislados, sino desafíos sistémicos.

¿Cómo reducir el riesgo? Primero, no usar contratos antiguos que ya están desactivados. Segundo, retirar las recompensas periódicamente y evitar que queden ociosas. Más importante aún, diversificar los fondos y no poner todos los huevos en una sola cesta. También hay que estar atentos a los anuncios oficiales antes de entrar.

Desde una perspectiva más amplia, los procesos de auditoría deben fortalecerse, especialmente en lo que respecta a los contratos desactivados. La serie de incidentes en abril podría obligar a los protocolos a revisar la gestión del ciclo de vida de los contratos. El caso de Scallop es una advertencia para toda la industria.