L’exploitation des pétoncles draine 150 000 SUI, mais qu’en est-il de la liquidité et de la confiance de base ?
Un incident de sécurité a récemment perturbé le pool de récompenses Sui [$SUI] de Scallop. Mais heureusement, les dégâts ont été limités à une étroite couche contractuelle. L'exploit a drainé environ 150 000 $SUI, ce qui indiquait une vulnérabilité dans un module secondaire plutôt que dans l'infrastructure de base.
Au fur et à mesure que cela se déroulait, l’équipe a gelé le contrat concerné, limitant ainsi les pertes supplémentaires et stabilisant l’exposition des utilisateurs. Les pools de base sont restés intacts, ce qui souligne à quel point la conception modulaire du protocole isole efficacement les risques. Cette réponse a également réduit le risque d’un choc de liquidité plus large dans l’ensemble de l’écosystème.
Source : X
Plus important encore, l’événement a mis en évidence la manière dont les contrats périphériques peuvent introduire des risques cachés. La décision de Scallop de couvrir 100 % des pertes a contribué à restaurer la confiance, tandis que la prudence continue peut influencer l’activité des utilisateurs à court terme et la dynamique de la confiance.
Un ancien bug de contrat a entraîné une fuite de 150 000 $ SUI
L’exploit s’est déroulé via un chemin contractuel négligé, montrant que l’attaquant savait exactement où frapper. La transaction impliquait qu'environ 150 098 $ SUI soient transférés sur un seul compte, confirmant que le pool était vidé.
Cela s'est produit parce qu'un ancien contrat V2 ne définissait pas le last_index de l'utilisateur lors du jalonnement. En conséquence, le système a calculé les récompenses dès le début plutôt qu’à partir du début du jalonnement.
Source : X
Alors que l’indice spool atteignait environ 1,19 milliard, la participation de 136 000 sSUI de l’attaquant s’est multipliée instantanément. Cela a gonflé les récompenses à environ 150 000 $ SUI, qui ont ensuite été transférées vers un seul portefeuille.
Même si les contrats de base sont restés sécurisés, cet événement a démontré à quel point les chemins de code oubliés peuvent créer des risques cachés, affectant la confiance des utilisateurs à court terme.
Stabilité après exploit tant que la confiance des utilisateurs demeure
Suite à l'exploit, Scallop a restauré les opérations, signalant une récupération contrôlée plutôt qu'une défaillance systémique. Les contrats de base ont repris car le problème restait limité à un module de récompenses obsolète.
Source : X
Ce confinement a rassuré les utilisateurs, d'autant que les dépôts sont restés sécurisés et les retraits se sont poursuivis normalement. En conséquence, le TVL détenait près de 22,37 millions de dollars – signe qu’il n’y a pas de sorties de capitaux immédiates provoquées par la panique. Cette stabilité suggère que les utilisateurs ont reconnu la portée limitée de la violation.
Cependant, cette réponse a également mis en évidence un problème plus profond, celui où les modules périphériques étendent la surface d'attaque au-delà de la logique de base auditée. Même si la confiance se maintient pour l’instant, son maintien dépendra de la stabilité continue des flux. Si TVL reste stable ou augmente, la confiance se renforcera, tandis que des sorties retardées pourraient encore apparaître à mesure que les utilisateurs réévalueront le risque lié au protocole.
Résumé final
L'exploit Sui [$SUI] de Scallop a été contenu après qu'une perte de 150 000 $ SUI ait exposé les risques des contrats existants sans perturber la liquidité de base.
Le TVL de Scallop a tenu bon à près de 22,37 millions de dollars, mais la confiance durable dépendra de la question de savoir si les utilisateurs négligeront les vulnérabilités périphériques ou réduiront leur exposition.