Le protocole Scallop a été victime d'une attaque de prêt éclair dimanche. L'attaquant aurait dérobé environ 142 000 $ (150 000 SUI) dans ce qui semble être une attaque de manipulation d'oracle très ciblée. Cette attaque n'a pas affecté lestracprincipaux du protocole, mais a révélé une faille de conception plus profonde.
Un pirate aurait exploité une faille de sécurité dans untracannexe obsolète lié au système de récompenses sSUI de Scallop. L'équipe de Scallop assure que le protocole principal reste intact et que tous les dépôts des utilisateurs sont sécurisés. Toutefois, la perte est entièrement circonscrite à cette faille.
Code ancien ou faille d'Oracle ?
Les analystes estiment que le problème principal résidait dans la manipulation des flux de prix oracles personnalisés de Scallop. Cela a permis à l'attaquant de faire baisser artificiellement le taux de change SUI/USDC et d'emprunter des actifs à ces prix faussés. Il a ensuite remboursé ce prêt éclair au cours de la même transaction. Au final, le suspect a empoché la différence.
Ce scénario d'attaque DeFi est classique ; cependant, son exécution a été d'une précision inhabituelle. L'attaquant n'a pas ciblé de code actif ni les routes standard du SDK. Il a interagi avec une ancienne version V2 detracdatant de novembre 2023. Cette version, bien que laissée en place, restait accessible sur la blockchain. Sui maintient toutes les versions detracdéployées immuables et accessibles. C'est pourquoi ce package obsolète est devenu une surface d'attaque cachée.
Le prix du Sui n'a pas été affecté par l'exploitation de la faille. Il a progressé de près de 2 % au cours des dernières 24 heures. Au moment de la rédaction de cet article, le Sui s'échange à 0,94 $. Son volume d'échanges sur 24 heures avoisine les 187 millions de dollars.
Un expert a mentionné dans un article que la faille, bien que subtile, était grave. Dans le contrat obsolète trac une variable clé, « last_index », n'était jamais initialisée lors de la création d'un nouveau compte. Cela permettait à l'attaquant de réclamer des récompenses comme s'il avait participé au staking depuis le début du pool.
L'indice de récompense ayant augmenté au fil du temps, l'attaquant a pu s'attribuer la totalité de la cagnotte en une seule transaction. Il a précisé que l'indice Spool avait atteint 1,19 milliard en 20 mois.
L'attaquant a misé 136 000 sSUI et a reçu un crédit de 162 000 milliards de points. Cependant, le taux de change du pool de récompenses était de 1:1 (numérateur et dénominateur égaux à 1), ce qui a converti directement les 162 000 milliards de points en 162 000 SUI. Le pool ne contenait que 150 000 SUI, qui ont tous été épuisés.
Les données de la blockchain montrent que les fonds volés ont rapidement transité par un service de mixage, similaire à Tornado Cash sur Sui. Cela complique d'autant plus la récupération des fonds.
Scallop de nouveau en ligne après un piratage
L'équipe de Scallop a réagi en suspendant temporairement ses opérations. Elle a ensuite annoncé avoir débloqué lestracprincipaux et que toutes les opérations avaient repris. Un message sur X a souligné que le problème n'était pas lié au protocole principal, mais uniquement à untracde récompenses obsolète. Finalement, les dépôts TSER n'ont pas été affectés et tous les fonds sont restés en sécurité. Les retraits et les dépôts fonctionnent désormais normalement.
🚨 Scallop victime d'une faille de sécurité sur Sui : perte de 142 000 $ suite à une attaque par manipulation d'oracle
DÉTAILS 👇
CE QUI S'EST PASSÉ?
Le 26 avril 2026, le protocole de prêt Scallop a subi une attaque de prêt éclair ciblant untracparallèle obsolète lié à son pool de récompenses sSUI
— Sophia Hodlberg (@sophiaHodlberg) 26 avril 2026
L'attaquant aurait contacté l'équipe et proposé de restituer 80 % des fonds en échange d'une prime pour avoir identifié la faille de sécurité. Unedent est en cours. L'équipe examinera comment cette faille a pu passer les audits précédents réalisés par des entreprises telles qu'OtterSec et MoveBit.
Cryptopolitan Il a été signalé dent majeurs d'avril 2026 ne provenaient pas de la logique du protocole principal. Ils étaient liés à d'anciens contrats trac adaptateurs ou couches d'infrastructure encore accessibles, mais négligés. Les pertes cumulées dépassaient 750 millions de dollars à la mi-avril. Le seul mois d'avril 2026 a représenté plus de 600 millions de dollars de fonds volés, répartis sur 12 incidents dent .
Kelp DAO et Drift Protocol sont responsables, à eux deux, d'environ 95 % des pertes d'avril. L'attaque contre Kelp a engendré 177 millions de dollars de créances irrécouvrables sur Aave. Parallèlement, le Conseil de sécurité d'Arbitrum a gelé avec succès 30 766 ETH (soit environ 71 millions de dollars) des fonds volés.
Hyperliquid reste le token le plus important de la finance DeFi . Son prix a augmenté de 10 % ces 30 derniers jours et s'établit à 41,95 $ au moment de la rédaction de cet article. Chainlink occupe la deuxième place et son cours avoisine les 9,4 $.
