Scallop, un protocole de prêt sur le réseau Sui, s'est engagé à rembourser intégralement les utilisateurs après qu'une exploitation a drainé 150 000 jetons SUI, d'une valeur d'environ 142 000 $, d'un contrat de récompenses obsolète le 26 avril.
« Scallop couvrira entièrement 100 % de la perte », a déclaré le marché monétaire dans un communiqué sur X, ajoutant que les opérations principales avaient repris en moins de deux heures.
La vulnérabilité a été tracée jusqu'à un package spool V2 vieux de 17 mois, publié en novembre 2023, qui contenait un compteur last_index non initialisé. En stakant environ 136 000 sSUI, l'attaquant a pu manipuler le contrat pour réclamer des récompenses comme si la position existait depuis août 2023, vidant ainsi l'intégralité du pool de récompenses. Les pools de prêt et d'emprunt principaux n'ont pas été affectés.
L'exploitation souligne une vulnérabilité persistante dans le secteur DeFi, où des contrats intelligents immuables et obsolètes peuvent devenir des surfaces d'attaque oubliées. Cet incident fait suite à une exploitation similaire de 3,5 millions de dollars chez Volo Protocol sur Sui et contribue à un mois où les piratages DeFi ont déjà dépassé les 600 millions de dollars, soulevant des questions sur l'audit et la gestion du cycle de vie du code blockchain dans l'ensemble de l'industrie.
L'attaque, capturée dans le hash de transaction 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL, n'a pas compromis l'infrastructure de prêt principale de Scallop ni les dépôts des utilisateurs. L'équipe a gelé le contrat concerné à 12:50 UTC et avait rétabli tous les services à 14:42 UTC.
Une analyse indépendante a révélé que le bug portait sur le contrat obsolète traitant le nouveau stake de l'attaquant comme s'il accumulait des récompenses depuis 20 mois. Cela a permis à l'exploiteur de réclamer une quantité disproportionnée de récompenses, les rachetant contre les 150 000 SUI détenus dans le pool. L'incident a attiré l'attention sur les risques de laisser des contrats anciens, inutilisés mais toujours appelables, actifs sur la chaîne, un défi particulier pour les blockchains immuables comme Sui.
L'incident Scallop est le dernier d'une série d'exploitations sur le réseau Sui, y compris la perte récente de 3,5 millions de dollars chez Volo Protocol, qui impliquait également un contrat périphérique. Avril 2026 a été un mois brutal pour la sécurité DeFi, avec des pertes totales dues aux piratages dépassant 606 millions de dollars à travers 13 incidents. Cela place avril en voie de devenir l'un des pires mois pour la sécurité DeFi, rappelant des incidents majeurs comme l'événement de depeg de 292 millions de dollars de Kelp DAO sur Aave.
À la suite de l'exploitation, l'attaquant aurait contacté l'équipe de Scallop, proposant de restituer 80 % des fonds volés en échange d'une prime de « white-hat ». L'équipe examine également comment la vulnérabilité a pu être manquée malgré les audits de sécurité précédents effectués par des cabinets tels qu'OtterSec et MoveBit. Ni la Fondation Sui ni Mysten Labs n'ont publié de déclaration publique sur le sujet.
Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.
