Schwachstellen in veraltetem Code bringen dezentrale Finanzplattformen ins Wanken, wobei in diesem Monat durch eine Reihe aufsehenerregender Verstöße fast 606 Millionen US-Dollar verloren gingen.

Inhaltsverzeichnis Scallop, Suis größtes Kreditprotokoll, erlitt am 26. April 2026 einen Exploit, der zu Verlusten von etwa 140.000 US-Dollar führte. Der Angriff zielte auf einen veralteten Belohnungsvertrag und nicht auf das Kernprotokoll selbst. Nach dem Verstoß fror das Scallop-Team die betroffenen Verträge ein, identifizierte die Schwachstelle und stellte den Betrieb wieder her. Die Einzahlungen der Benutzer blieben während des gesamten Vorfalls unberührt. Das Ereignis ergänzt eine wachsende Liste von DeFi-Exploits, die allein im April 2026 aufgezeichnet wurden. Der Scallop-Exploit hat die Hauptinfrastruktur des Protokolls nicht verletzt. Stattdessen fand der Angreifer eine Lücke in einem alten, ungenutzten Rewards-Vertrag. Diese Unterscheidung ist wichtig, da sie zeigt, wie Legacy-Code mit der Zeit zu einer Belastung werden kann. Protokolle ziehen oft bestimmte Komponenten zurück, ohne sie vollständig aus dem Netzwerk zu entfernen. 🚨 HINWEIS ZU SICHERHEITSVORFÄLLEN Wir haben einen Exploit identifiziert, der einen Nebenvertrag im Zusammenhang mit Scallops sSUI-Spool-Belohnungspool betrifft und zu einem Verlust von etwa 150.000 SUI führte. Der betroffene Vertrag wurde eingefroren. Unsere Kernverträge bleiben sicher und nur der sSUI-Belohnungspool … – Scallop (@Scallop_io) 26. April 2026 Scallop hatte im Februar 2025 eine vollständige Prüfung durch die Sui Foundation abgeschlossen. Trotz dieser Überprüfung blieb der veraltete Vertrag ein schwaches Glied. Der Krypto-Analyst Crypto Patel bemerkte auf X, dass „geprüft nicht sicher bedeutet“ und verwies auf Scallop und Kelp DAO als Beispiele. Kelp DAO verlor 292 Millionen US-Dollar, obwohl es vor dem Verstoß zwei separate Prüfungen bestanden hatte. Das Scallop-Team reagierte schnell, indem es den Fehler isolierte und entsprechende Verträge pausierte. Kurz darauf wurde der Betrieb wieder aufgenommen, wobei das Team bestätigte, dass keine Benutzergelder gefährdet waren. Die schnelle Reaktion trug lediglich dazu bei, den Schaden an der veralteten Komponente einzudämmen. Dennoch machte der Vorfall darauf aufmerksam, dass alte Verträge zunehmend als Angriffsvektoren genutzt werden. Dieses Muster ist in den letzten Monaten im gesamten Sui-Ökosystem häufiger geworden. Entwickler und Sicherheitsforscher haben begonnen, ungenutzte Verträge als wachsendes Problem zu kennzeichnen. Protokolle, die veraltete Komponenten ohne ordnungsgemäße Deaktivierung aktiv lassen, sind einem erhöhten Risiko ausgesetzt. Der Scallop-Fall dient als praktischer Bezugspunkt für das laufende Gespräch. Der April 2026 hat sich als schwieriger Monat für den gesamten DeFi-Sektor erwiesen. Die Branchenverluste belaufen sich auf über 606 Millionen US-Dollar, was den schlimmsten Monat seit dem Bybit-Vorfall darstellt. Der Scallop-Exploit ist der 13. registrierte DeFi-Verstoß in diesem Monat. Diese Häufigkeit weist auf eine systemische Herausforderung hin, vor der dezentrale Finanzplattformen stehen. Insbesondere im Sui-Netzwerk kam es im vergangenen Jahr immer wieder zu Vorfällen. Cetus DEX verlor im Mai 2025 223 Millionen US-Dollar, gefolgt von einem Verlust von 2,4 Millionen US-Dollar für das Nemo-Protokoll im September 2025. Das Volo-Protokoll musste am 22. April 2026, nur wenige Tage vor dem Scallop-Verstoß, einen Verlust von 3,5 Millionen US-Dollar hinnehmen. Diese Vorfälle spiegeln ein wiederkehrendes Schwachstellenmuster in Sui-basierten Protokollen wider. Risikomanagement ist unter DeFi-Teilnehmern zu einem drängenden Thema geworden. Crypto Patel empfahl, veraltete Verträge zu vermeiden und Belohnungen regelmäßig abzuheben, anstatt sie ungenutzt zu lassen. Auch die Verteilung der Mittel auf mehrere Protokolle statt deren Konzentration auf einer Plattform verringert die Gefährdung. Die Überwachung offizieller Protokollankündigungen vor der Einzahlung bietet eine weitere Schutzebene. Die breitere DeFi-Community untersucht weiterhin, wie Prüfungsprozesse gestärkt werden können. Das Bestehen einer Prüfung garantiert nicht, dass ein Protokoll frei von ausnutzbarem Code ist, insbesondere in älteren Komponenten. Laufende Sicherheitsüberprüfungen, die veraltete Verträge abdecken, werden zu einer empfohlenen Praxis. Die Ereignisse im April 2026 werden wahrscheinlich die Art und Weise beeinflussen, wie Protokolle künftig an das Vertragslebenszyklusmanagement herangehen.