L'attaque éclair de scallop vide $142K du contrat de récompenses Sui

Scallop a subi une attaque par prêt flash dimanche après qu’un exploiteur ait drainé environ 142 000 $ d’un contrat de récompenses obsolète lié à sa pool sSUI

ContenuContrat obsolète expose un risque cachéManipulation de l’oracle Supporte la stratégie de prêt flashScallop reprend ses opérations après revueL’incident concernait environ 150 000 SUI et semblait reposer sur une manipulation de l’oracle et une variable de récompense non initialisée. Scallop a déclaré que son protocole principal est resté sécurisé, que les dépôts des utilisateurs sont restés sûrs, et que la perte est restée limitée à un contrat isolé.

Contrat obsolète expose un risque caché

L’exploitation de Scallop ne ciblait pas son système de prêt principal ni le code du protocole actuel. Au lieu de cela, l’attaquant a interagi avec un ancien contrat V2 de novembre 2023 qui restait accessible sur la blockchain malgré sa dépréciation. La conception du package immuable de Sui permet aux versions déployées de contrats de rester accessibles, ce qui a transformé un code abandonné en une surface d’attaque négligée.

Les analystes en sécurité ont indiqué que le contrat contenait une faille subtile mais grave. Lorsqu’un nouveau compte était ajouté à la pool de récompenses, la variable nommée last_index n’était pas initialisée. Cette lacune a permis à l’attaquant de sembler éligible aux récompenses accumulées depuis le début de la pool.

L’indice de récompense avait augmenté fortement sur environ 20 mois. Après avoir mis en jeu 136 000 sSUI, l’attaquant a reçu un crédit pour 162 trillions de points de récompense. Étant donné que la pool utilisait un taux d’échange de récompense un pour un, ces points se sont convertis en environ 162 000 SUI. La pool ne détenait que 150 000 SUI, donc l’attaquant a drainé le solde disponible.

Manipulation de l’oracle supporte la stratégie de prêt flash

Les analystes ont également souligné la manipulation des flux de prix personnalisés de l’oracle de Scallop. L’attaquant aurait poussé à la baisse les taux de SUI et USDC, emprunté des actifs à des prix déformés, puis remboursé le prêt flash dans la même transaction. La différence restante est devenue le profit de l’attaquant.

La transaction suivait un schéma d’exploitation DeFi connu, mais son exécution semblait très ciblée. L’attaquant a évité les routes actives et les chemins SDK standard, puis a utilisé un ancien code qui avait encore un accès sur la blockchain. Les données on-chain ont montré plus tard que les fonds volés passaient par un service de mixage basé sur Sui, ce qui pourrait compliquer les efforts de récupération.

🚨 Scallop victime d’une exploitation par prêt flash sur Sui, perd 142 000 $ dans une attaque de manipulation d’oracle

DÉTAILS 👇

QUE S’EST-IL PASSÉ ?

Le 26 avril 2026, le protocole de prêt de Scallop a subi une exploitation par prêt flash ciblant un contrat latéral obsolète lié à sa pool de récompenses sSUI

… pic.twitter.com/xoZbLzGCf0

— Sophia Hodlberg (@sophiaHodlberg) 26 avril 2026

Scallop reprend ses opérations après revue

Scallop a suspendu ses activités après avoir détecté l’exploitation, puis a dégelé ses contrats principaux. L’équipe a indiqué que les dépôts et retraits ont repris normalement et a souligné que le problème n’a pas affecté les fonds des utilisateurs. L’attaquant aurait contacté Scallop et proposé de rendre 80 pour cent des fonds en échange d’une récompense pour chapeau blanc.

Ce cas s’ajoute à un mois d’avril difficile pour la sécurité en DeFi. Plusieurs incidents majeurs ce mois-ci proviennent de contrats anciens, d’adaptateurs et de couches d’infrastructure plutôt que des systèmes de protocole principaux. Les pertes rapportées lors des incidents d’avril ont dépassé $600 millions à la mi-mois, Kelp DAO et Drift Protocol ayant contribué à la majorité des dégâts. Le cas de Scallop montre comment un code inutilisé peut encore créer un risque actif. Il met aussi en évidence pourquoi les équipes doivent suivre chaque package déployé, pas seulement la dernière version audité.