Scallop DeFi-Exploit legt das Risiko veralteter Verträge inmitten des $606 Mio. Verluststreaks im April 2026 offen

TLDR:

• Scallops $140.000 Verlust entstand durch einen veralteten Rewards-Contract, nicht durch die Kerninfrastruktur des Lending-Protokolls.
• Im April 2026 wurden 13 DeFi-Exploits verzeichnet, wodurch die gesamten Branchenverluste auf über 606 Millionen US-Dollar gestiegen sind – der schlimmste Monat seit Bybit.
• Scallop hat im Februar 2025 ein vollständiges Audit der Sui Foundation bestanden, dennoch blieb der veraltete Contract ein offenes Risiko.
• Experten empfehlen, Mittel zu streuen, veraltete Contracts zu meiden und Belohnungen regelmäßig abzuheben, um das Risiko zu reduzieren.

Scallop, Suis größtes Lending-Protokoll, erlitt am 26.04.2026 einen Exploit, der zu Verlusten von rund 140.000 US-Dollar führte.

Der Angriff zielte auf einen veralteten Rewards-Contract und nicht auf das Kernprotokoll selbst ab. Nach dem Einbruch fror das Scallop-Team betroffene Contracts ein, identifizierte die Schwachstelle und stellte den Betrieb wieder her.

Nutzereinlagen blieben während des Vorfalls unberührt. Das Ereignis reiht sich in eine wachsende Liste von DeFi-Exploits ein, die allein im April 2026 verzeichnet wurden.

Veralteter Contract wird zum Einfallstor für Angreifer

Der Scallop-Exploit hat die Hauptinfrastruktur des Protokolls nicht kompromittiert. Stattdessen fand der Angreifer eine Lücke in einem alten, ungenutzten Rewards-Contract.

Diese Unterscheidung ist wichtig, da sie zeigt, wie Legacy-Code mit der Zeit zur Haftung werden kann. Protokolle stellen oft bestimmte Komponenten ein, ohne sie vollständig aus dem Netzwerk zu entfernen.

Scallop hatte im Februar 2025 ein vollständiges Audit durch die Sui Foundation abgeschlossen. Trotz dieser Prüfung blieb der veraltete Contract ein schwaches Glied.

Krypto-Analyst Crypto Patel merkte auf X an, dass „auditiert nicht sicher bedeutet", und nannte Scallop und Kelp DAO als Beispiele. Kelp DAO verlor 292 Millionen US-Dollar, obwohl es vor dem Einbruch zwei separate Audits bestanden hatte.

Das Scallop-Team reagierte schnell, indem es den Bug isolierte und verwandte Contracts pausierte. Der Betrieb wurde kurz darauf wieder aufgenommen, und das Team bestätigte, dass keine Nutzergelder gefährdet waren.

Die schnelle Reaktion half, den Schaden auf die veraltete Komponente zu begrenzen. Dennoch lenkte der Vorfall die Aufmerksamkeit darauf, wie alte Contracts zunehmend als Angriffsvektoren genutzt werden.

Dieses Muster ist in den letzten Monaten im Sui-Ökosystem häufiger geworden. Entwickler und Sicherheitsforscher haben begonnen, ungenutzte Contracts als wachsendes Problem zu kennzeichnen.

Protokolle, die veraltete Komponenten ohne ordnungsgemäße Deaktivierung aktiv lassen, sind einem erhöhten Risiko ausgesetzt. Der Scallop-Fall dient als praktischer Referenzpunkt für diese laufende Diskussion.

April 2026 verzeichnet schlimmsten Monat für DeFi-Verluste seit Bybit

Der April 2026 hat sich als schwieriger Monat für den breiteren DeFi-Sektor erwiesen. Die Branchenverluste haben die Marke von 606 Millionen US-Dollar überschritten, was ihn zum schlimmsten Monat seit dem Bybit-Vorfall macht.

Der Scallop-Exploit ist der 13. verzeichnete DeFi-Einbruch in diesem Monat. Diese Häufigkeit weist auf eine systemische Herausforderung hin, der dezentralisierte Finanzplattformen gegenüberstehen.

Das Sui-Netzwerk hat im vergangenen Jahr insbesondere wiederholte Vorfälle erlebt. Cetus DEX verlor im Mai 2025 223 Millionen US-Dollar, gefolgt von Nemo Protocol, das im September 2025 2,4 Millionen US-Dollar verlor.

Volo Protocol wurde am 22.04.2026, nur wenige Tage vor dem Scallop-Einbruch, für 3,5 Millionen US-Dollar getroffen. Diese Vorfälle spiegeln ein wiederkehrendes Schwachstellenmuster bei Sui-basierten Protokollen wider.

Risikomanagement ist zu einem drängenden Thema unter DeFi-Teilnehmern geworden. Crypto Patel empfahl, veraltete Contracts zu meiden und Belohnungen regelmäßig abzuheben, anstatt sie ungenutzt zu lassen.

Die Streuung von Mitteln über mehrere Protokolle, anstatt sie auf einer Plattform zu konzentrieren, reduziert ebenfalls das Risiko. Das Überwachen offizieller Protokollankündigungen vor dem Einzahlen bietet eine weitere Schutzebene.

Die breitere DeFi-Community prüft weiterhin, wie Audit-Prozesse gestärkt werden können. Das Bestehen eines Audits garantiert nicht, dass ein Protokoll frei von ausnutzbarem Code ist, insbesondere bei Legacy-Komponenten.

Laufende Sicherheitsüberprüfungen, die veraltete Contracts abdecken, werden zunehmend zur empfohlenen Praxis. Die Ereignisse vom April 2026 werden voraussichtlich prägen, wie Protokolle künftig das Lebenszyklusmanagement von Contracts angehen.

Der Beitrag Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak erschien zuerst auf Blockonomi.