Scallop Protocol a perdu 142 000 $ dans un flash loan combiné à une attaque de manipulation d'oracle

Le Scallop Protocol a été victime d'un exploit de flash loan dimanche. L'attaquant aurait siphonné environ 142 000 $ (150 000 SUI) dans ce qui semble être une attaque de manipulation d'oracle très ciblée. Celle-ci n'a pas touché les contrats principaux du protocole, mais a exposé une faille de conception plus profonde.

Un attaquant aurait exploité un contrat secondaire déprécié lié au pool de récompenses sSUI de Scallop. Leur équipe affirme que le protocole principal reste intact et que tous les dépôts des utilisateurs sont en sécurité. Cependant, la perte est entièrement contenue dans cette partie isolée.

Ancien code ou faille d'oracle ?

Les analystes suggèrent que le problème central était la manipulation des flux de prix d'oracle personnalisés de Scallop. Cela a permis à l'attaquant de déprimer artificiellement les taux SUI/USDC et d'emprunter des actifs à ces prix distordus. Il a ensuite remboursé le flash loan dans la même transaction. Au final, le suspect est reparti avec la différence.

Cela suit un schéma d'attaque DeFi familier ; cependant, l'exécution dans cet événement était inhabituellement précise. L'attaquant n'a pas ciblé le code actif ni les routes SDK standard. Il a interagi avec un ancien contrat V2 de novembre 2023. Il s'agissait d'une version qui avait été abandonnée mais qui restait appelable on-chain. Sui conserve toutes les versions de contrats déployés immuables et accessibles. C'est pourquoi ce package obsolète est devenu une surface d'attaque cachée.

Le prix de Sui n'a pas été affecté après l'exploit. Il est en hausse de près de 2 % au cours des dernières 24 heures. Sui se négocie à 0,94 $ au moment de la rédaction. Son volume de trading sur 24 heures avoisine les 187 millions de dollars.

Un expert a mentionné dans un post que la faille elle-même était subtile mais grave. Dans le contrat déprécié, une variable clé « last_index » n'était jamais initialisée lors de la création d'un nouveau compte. Cela a permis à l'attaquant de réclamer des récompenses comme s'il avait staké depuis le début du pool.

L'index de récompense ayant augmenté avec le temps, l'attaquant a pu se créditer de l'intégralité du pool de récompenses en une seule transaction. Il a mentionné que l'index Spool a atteint 1,19 milliard en 20 mois. 

L'attaquant a staké 136 000 sSUI et s'est vu créditer 162 billions de points. Cependant, le pool de récompenses fonctionnait avec un taux de change 1:1 (numérateur et dénominateur tous les deux = 1), donc 162 billions de points se sont convertis directement en 162 000 SUI de récompenses. Le pool ne contenait que 150 000 SUI et ils ont tous été vidés.

Les données on-chain montrent que les fonds volés ont été rapidement acheminés via un service de mixage, similaire à Tornado Cash sur Sui. Cela rend la récupération encore plus difficile.

Scallop de retour en ligne après le hack

L'équipe de Scallop a répondu en suspendant temporairement les opérations. Elle a ensuite indiqué avoir dégelé les contrats principaux et que toutes les opérations ont repris. Un post X a souligné que le problème n'était pas lié au protocole principal et était isolé à un contrat de récompenses déprécié. Au final, les dépôts des utilisateurs n'ont pas été impactés et tous les fonds restent en sécurité. Les retraits et les dépôts fonctionnent désormais normalement.

L'attaquant aurait contacté l'équipe et proposé de restituer 80 % des fonds en échange d'une prime white-hat. L'incident est maintenant en cours d'investigation. L'équipe vérifiera comment la faille a passé les audits préalables effectués par des entreprises telles qu'OtterSec et MoveBit.

Cryptopolitan a rapporté que bon nombre des incidents majeurs d'avril 2026 ne provenaient pas de la logique principale du protocole. Ils ont émergé d'anciens contrats, d'adaptateurs ou de couches d'infrastructure qui restent accessibles mais négligés. Les pertes cumulées ont dépassé 750 millions de dollars à la mi-avril. Avril 2026 à lui seul a représenté plus de 600 millions de dollars de fonds volés à travers 12 incidents majeurs. 

Kelp DAO et Drift Protocol, ensemble, représentent environ 95 % des pertes d'avril. L'attaque contre Kelp a entraîné 177 millions de dollars de créances douteuses sur Aave. Pendant ce temps, le Conseil de sécurité d'Arbitrum a réussi à geler 30 766 ETH (d'une valeur approximative de 71 millions de dollars) des fonds volés.

Hyperliquid reste le plus grand token dans la catégorie DeFi. Le prix de HYPE est en hausse de 10 % au cours des 30 derniers jours. Il se négocie à 41,95 $ au moment de la rédaction. Chainlink se place en 2ème position. LINK se négociait autour de 9,4 $.

Votre banque utilise votre argent. Vous n'en obtenez que des miettes. Regardez notre vidéo gratuite pour devenir votre propre banque