Les vulnérabilités dans un code obsolète laissent les plateformes financières décentralisées ébranlées, avec la disparition de près de 606 millions de dollars dans une série de violations très médiatisées ce mois-ci.

Scallop, le plus grand protocole de prêt de Sui, a subi un exploit le 26 avril 2026, entraînant des pertes d'environ 140 000 $. L’attaque visait un contrat de récompense obsolète plutôt que le protocole principal lui-même. À la suite de la violation, l'équipe Scallop a gelé les contrats concernés, identifié la vulnérabilité et rétabli les opérations. Les dépôts des utilisateurs ne sont pas affectés tout au long de l'incident. L’événement s’ajoute à une liste croissante d’exploits DeFi enregistrés rien qu’en avril 2026. L’exploit Scallop n’a pas violé l’infrastructure principale du protocole. Au lieu de cela, l’attaquant a trouvé une ouverture dans un ancien contrat de récompenses inutilisé. Cette distinction est importante, car elle montre à quel point le code existant peut devenir un handicap au fil du temps. Les protocoles retirent souvent certains composants sans les éliminer complètement du réseau. 🚨 AVIS D'INCIDENT DE SÉCURITÉ Nous avons identifié un exploit affectant un contrat parallèle lié au pool de récompenses de bobine sSUI de Scallop, entraînant une perte d'environ 150 000 SUI. Le contrat concerné a été gelé. Nos contrats de base restent sûrs et seul le pool de récompenses sSUI… — Scallop (@Scallop_io) 26 avril 2026 Scallop avait réalisé un audit complet mené par la Fondation Sui en février 2025. Malgré cet examen, le contrat obsolète restait un maillon faible. L'analyste crypto Crypto Patel a noté sur X que « audité ne signifie pas sûr », citant Scallop et Kelp DAO comme exemples. Kelp DAO a perdu 292 millions de dollars malgré la réussite de deux audits distincts avant sa violation. L'équipe Scallop a réagi rapidement en isolant le bug et en suspendant les contrats associés. Les opérations ont repris peu de temps après, l'équipe confirmant qu'aucun fonds des utilisateurs n'était en danger. La réponse rapide a permis de limiter les dégâts sur le composant obsolète uniquement. Néanmoins, l’incident a attiré l’attention sur la façon dont les anciens contrats sont de plus en plus utilisés comme vecteurs d’attaque. Ce modèle est devenu plus courant dans l’écosystème Sui ces derniers mois. Les développeurs et les chercheurs en sécurité ont commencé à signaler les contrats inutilisés comme une préoccupation croissante. Les protocoles qui laissent actifs des composants obsolètes sans désactivation appropriée présentent un risque élevé. L’affaire Scallop sert de point de référence pratique pour cette conversation en cours. Avril 2026 s’est avéré être un mois difficile pour l’ensemble du secteur DeFi. Les pertes de l'industrie ont dépassé les 606 millions de dollars, ce qui en fait le pire mois depuis l'incident de Bybit. L’exploit Scallop est la 13e violation DeFi enregistrée ce mois-ci. Cette fréquence indique un défi systémique auquel sont confrontées les plateformes financières décentralisées. Le réseau Sui, en particulier, a connu des incidents répétés au cours de l'année écoulée. Cetus DEX a perdu 223 millions de dollars en mai 2025, suivi par le protocole Nemo qui a perdu 2,4 millions de dollars en septembre 2025. Le protocole Volo a été touché pour 3,5 millions de dollars le 22 avril 2026, quelques jours seulement avant la violation de Scallop. Ces incidents reflètent un modèle de vulnérabilité récurrent dans les protocoles basés sur Sui. La gestion des risques est devenue un sujet urgent parmi les participants à DeFi. Crypto Patel a recommandé d'éviter les contrats obsolètes et de retirer régulièrement les récompenses plutôt que de les laisser inutilisées. Répartir les fonds sur plusieurs protocoles au lieu de les concentrer sur une seule plateforme réduit également l’exposition. La surveillance des annonces officielles du protocole avant d’effectuer des dépôts ajoute une autre couche de protection. La communauté DeFi au sens large continue d'examiner comment les processus d'audit peuvent être renforcés. La réussite d'un audit ne garantit pas qu'un protocole est exempt de code exploitable, en particulier dans les composants existants. Les examens de sécurité continus portant sur les contrats obsolètes deviennent une pratique recommandée. Les événements d’avril 2026 façonneront probablement la manière dont les protocoles aborderont la gestion du cycle de vie des contrats à l’avenir.