Le réseau Sui touché par un exploit à six chiffres, le protocole Scallop perd plus de 140 000 $ au profit des pirates

Table des matières Une plate-forme de prêt DeFi fonctionnant sur le réseau Sui, Scallop Protocol, a subi une faille de sécurité qui a entraîné le vol d'environ 142 000 $ de jetons SUI dimanche à la suite de l'exploitation d'un ancien contrat intelligent de récompenses. 🚨 AVIS D'INCIDENT DE SÉCURITÉ Nous avons identifié un exploit affectant un contrat parallèle lié au pool de récompenses de bobine sSUI de Scallop, entraînant une perte d'environ 150 000 SUI. Le contrat concerné a été gelé. Nos contrats principaux restent sûrs et seul le pool de récompenses sSUI… — Scallop (@Scallop_io) 26 avril 2026 L'incident de sécurité s'est produit le 26 avril 2026, Scallop ayant rendu la violation publique à 12h50 UTC via une annonce sur X (anciennement Twitter). Plutôt que de compromettre l’infrastructure du protocole principal, l’auteur a concentré son attaque sur un contrat auxiliaire obsolète connecté au spool sSUI de Scallop, un mécanisme de distribution de récompenses conçu pour les déposants de jetons SUI. Le contrat intelligent vulnérable était un package de bobine V2 qui avait été déployé en novembre 2023, soit plus de 17 mois au moment de l'exploitation. Sur le réseau Sui, les contrats intelligents deviennent immuables une fois déployés. Les versions précédentes restent actives et accessibles à moins que les développeurs n'implémentent des restrictions d'accès explicites basées sur la version. Cette caractéristique architecturale a permis au contrat existant de persister en tant que vulnérabilité exploitable. La faille de sécurité critique était centrée sur une variable non initialisée nommée « last_index ». Ce paramètre est conçu pour surveiller les récompenses accumulées pour les participants au système de jalonnement. Étant donné que cette variable n'a jamais été correctement initialisée lors de la création d'un nouveau compte, l'attaquant pourrait rejoindre le pool et extraire des récompenses comme s'il y avait participé depuis le début. L'acteur malveillant a mis en jeu environ 136 000 jetons sSUI. Au cours des 20 mois précédents, l’indice spool s’était accumulé à environ 1,19 milliard. Cet écart a permis à l'attaquant de s'attribuer environ 162 000 milliards de points de récompense. Étant donné que le système de distribution des récompenses fonctionnait selon un rapport d'échange de un pour un, le solde total de 150 000 SUI a été extrait en une seule transaction blockchain. Les enregistrements de la blockchain montrent le hachage de transaction 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL documentant le retrait en chaîne. Après le vol, les actifs volés ont été rapidement transférés via un protocole de mixage axé sur la confidentialité sur Sui, comparable à Tornado Cash, compliquant considérablement les efforts de récupération. L’équipe de développement de Scallop a agi rapidement pour geler le contrat compromis quelques minutes après la détection de l’exploit. Il est important de noter que l’infrastructure de base de prêt et d’emprunt n’a pas été suspendue. Les dépôts des clients sur tous les autres marchés de pétoncles sont restés entièrement protégés. Les dirigeants du protocole ont confirmé qu’ils absorberaient 100 % des pertes financières en utilisant les réserves du Trésor. Aucune réduction des taux de rendement des utilisateurs ne se produira à la suite de cet incident. À 14 h 42 UTC, Scallop avait réactivé les contrats principaux. La fonctionnalité standard de retrait et de dépôt a été rétablie à un fonctionnement normal moins de deux heures après la violation initiale. Par la suite, l'attaquant a pris contact avec l'équipe de développement, proposant de restituer 80 % des fonds volés en échange d'une reconnaissance en tant que hacker au chapeau blanc avec une prime associée. L'équipe examine actuellement comment cette vulnérabilité a échappé à la détection lors des précédents audits de sécurité menés par OtterSec et MoveBit. Cette faille de sécurité fait suite à un exploit comparable ciblant le protocole Volo au début du mois, qui a entraîné des pertes d'environ 3,5 millions de dollars. Les deux incidents ont exploité une infrastructure contractuelle périphérique plutôt que des mécanismes de protocole de base. En avril 2026, plus de 600 millions de dollars de vols de cryptomonnaies ont été enregistrés au cours de 12 incidents de sécurité importants. À la mi-avril, les pertes cumulées pour le mois dépassaient les 750 millions de dollars. Kelp DAO et Drift Protocol représentaient ensemble environ 95 % des pertes totales d’avril. L’attaque Kelp a généré indépendamment 177 millions de dollars de créances irrécouvrables sur la plateforme de prêt Aave. L’équipe de Scallop n’a pas encore publié d’analyse complète post-incident. Ils ont annoncé leur intention de procéder à un examen exhaustif de la sécurité de tous les anciens contrats restants. À la date de cette publication, ni la Fondation Sui ni Mysten Labs n'ont publié de déclaration officielle concernant l'incident de sécurité.