Das in Sui ansässige Unternehmen Scallop wurde Opfer eines Flash-Loan-Angriffs; Verlust von 142.000 US-Dollar

Das Scallop-Protokoll wurde am Sonntag Opfer einer Sicherheitslücke im Zusammenhang mit Flash-Krediten. Der Angreifer erbeutete Berichten zufolge rund 142.000 US-Dollar (150.000 SUI) durch einen offenbar gezielten Angriff auf das Oracle. Dietracdes Protokolls blieben zwar unberührt, jedoch wurde ein schwerwiegender Designfehler offengelegt.

Ein Angreifer nutzte offenbar einen veraltetentracim Zusammenhang mit dem sSUI-Belohnungspool von Scallop aus. Das Entwicklerteam betont, dass das Kernprotokoll intakt bleibt und alle Einlagen der Nutzer sicher sind. Der Schaden beschränkt sich jedoch vollständig auf diesen isolierten Teil.

Alter Code oder ein Oracle-Fehler?

Analysten vermuten, dass die Manipulation der von Scallop bereitgestellten Kursdaten im Kern des Problems lag. Dadurch konnte der Angreifer die SUI/USDC-Kurse künstlich drücken und sich zu diesen verzerrten Preisen Vermögenswerte leihen. Anschließend zahlte er den Flash-Kredit in derselben Transaktion zurück. Am Ende behielt der Verdächtige die Differenz.

Dies folgt einem bekannten DeFi Angriffsmuster; die Ausführung war in diesem Fall jedoch ungewöhnlich präzise. Der Angreifer zielte weder auf aktiven Code noch auf Standard-SDK-Routen ab. Er interagierte mit einem älteren V2-tracvom November 2023. Diese Version war zwar nicht mehr vorhanden, aber weiterhin auf der Blockchain aufrufbar. Sui hält alle bereitgestelltentracunveränderlich und zugänglich. Daher wurde dieses veraltete Paket zu einer versteckten Angriffsfläche.

Der Kurs von Sui hat nach dem Sicherheitsvorfall keinen Einbruch erlitten. Er ist in den letzten 24 Stunden um fast 2 % gestiegen. Zum Zeitpunkt der Veröffentlichung dieses Artikels notiert Sui bei 0,94 US-Dollar. Das 24-Stunden-Handelsvolumen liegt bei rund 187 Millionen US-Dollar.

Ein Experte erwähnte in einem Beitrag , dass der Fehler zwar subtil, aber dennoch gravierend sei. Im veralteten Vertragtracdie Schlüsselvariable „last_index“ bei der Erstellung eines neuen Kontos nie initialisiert. Dies ermöglichte es Angreifern, Belohnungen zu beanspruchen, als hätten sie seit Beginn des Pools gestakt.

Da der Belohnungsindex im Laufe der Zeit gestiegen war, konnte der Angreifer sich den gesamten Belohnungspool in einer einzigen Transaktion gutschreiben lassen. Er erwähnte, dass der Spool-Index innerhalb von 20 Monaten auf 1,19 Milliarden angewachsen sei. 

Der Angreifer setzte 136.000 sSUI ein und erhielt dafür 162 Billionen Punkte. Da der Belohnungspool jedoch mit einem 1:1-Wechselkurs arbeitete (Zähler und Nenner jeweils = 1), entsprachen die 162 Billionen Punkte direkt 162.000 SUI an Belohnungen. Der Pool enthielt jedoch nur 150.000 SUI, die vollständig aufgebraucht wurden.

Die On-Chain-Daten zeigen, dass die gestohlenen Gelder schnell über einen Mixing-Dienst, ähnlich wie Tornado Cash auf Sui, geleitet wurden. Dies erschwert die Rückgewinnung zusätzlich.

Scallop nach Hackerangriff wieder online

Das Team von Scallop reagierte mit einer vorübergehenden Betriebspause. Anschließend wurde mitgeteilt, dass dietracwieder freigegeben wurden und der Betrieb wieder aufgenommen wurde. Ein X-Beitrag hob hervor, dass das Problem nicht mit dem Kernprotokoll zusammenhing, sondern auf einen veraltetentracbeschränkt war. Letztendlich waren die Einzahlungen der Nutzer nicht betroffen und alle Gelder sind weiterhin sicher. Ein- und Auszahlungen funktionieren nun wieder normal.

🚨 Scallop wurde Opfer einer Sicherheitslücke bei Flash Loans auf Sui und verlor 142.000 US-Dollar durch einen Oracle-Manipulationsangriff

DETAILS 👇

WAS IST PASSIERT?

Am 26. April 2026 wurde das Scallop-Kreditprotokoll Opfer eines Flash-Loan-Exploits, der auf einen veraltetentracim Zusammenhang mit dem sSUI-Spool-Rewards-Pool abzielte

>… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26. April 2026

Der Angreifer kontaktierte das Team und bot an, 80 % der Gelder im Austausch gegen eine Belohnung für die Aufklärung des Vorfalls zurückzuzahlen. Derdent wird nun untersucht. Das Team prüft, wie die Sicherheitslücke bei früheren Prüfungen durch Unternehmen wie OtterSec und MoveBit unentdeckt bleiben konnte.

Cryptopolitan berichtete im April 2026dentnicht auf die Kernlogik des Protokolls zurückzuführen waren. Sie entstanden vielmehr durch alte Verträgetracüber 600 Millionen US-Dollar an Geldern gestohlendent. 

Kelp DAO und Drift Protocol sind zusammen für ca. 95 % der Verluste im April verantwortlich. Der Angriff auf Kelp führte zu uneinbringlichen Forderungen in Höhe von 177 Millionen US-Dollar bei Aave. Gleichzeitig fror der Sicherheitsrat von Arbitrum erfolgreich 30.766 ETH (im Wert von ca. 71 Millionen US-Dollar) der gestohlenen Gelder ein.

Hyperliquid ist weiterhin der größte Token im DeFi Bereich. Der HYPE-Kurs ist in den letzten 30 Tagen um 10 % gestiegen und notiert zum Zeitpunkt der Veröffentlichung bei 41,95 US-Dollar. Chainlink folgt an zweiter Stelle. Der LINK-Kurs lag bei etwa 9,40 US-Dollar.