L’accord de prêt-décentralisé sur le réseau Sui Scallop, publié le 26 avril (dimanche) via la plateforme X, confirme avoir subi une attaque par faille. L’attaquant a extrait environ 150 000 jetons SUI d’un contrat de récompenses abandonné associé à sSUI spool. D’après la déclaration officielle, le pool de liquidités principal et les dépôts des utilisateurs n’ont pas été affectés. L’accord a été rétabli pour les retraits et les dépôts, et confirme que toutes les pertes seront entièrement indemnisées avec les fonds de l’entreprise.
Chronologie de l’événement et réponse officielle de Scallop
D’après l’annonce sur la plateforme X officielle de Scallop (26 avril à 12:50 UTC), l’objectif de l’attaque était le contrat de récompenses subordonné du sSUI spool ; ce contrat constitue la couche d’incitation de l’accord pour les déposants SUI, et non la logique de prêt-décentralisé centrale. L’équipe Scallop a gelé le contrat touché dans les minutes qui ont suivi l’événement ; le contrat principal a été gelé jusqu’à ce que la mise en pause soit levée dans les deux heures. Les retraits et les rechargements ont repris à 14:42 UTC.
La déclaration officielle de Scallop indique : « Scallop indemnisera intégralement 100% des pertes. »
Analyse technique de la faille : compteur non initialisé dans le paquet abandonné de 2023
(Source : Vadim)
D’après une analyse indépendante on-chain, le point d’entrée de l’attaque est le paquet V2 spool abandonné que Scallop a déployé en novembre 2023, soit plus de 17 mois avant la présente attaque. Dans l’architecture technique du réseau Sui, les paquets déjà déployés ne peuvent pas être modifiés ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables.
L’attaquant a identifié dans le paquet un compteur last_index non initialisé, utilisé pour suivre les récompenses accumulées des stakers. L’attaquant a misé environ 136 000 sSUI ; le système a traité cette position comme une position qui existait depuis le lancement du spool en août 2023. Après une accumulation exponentielle d’environ 20 mois, l’indice du spool a atteint environ 1,19 milliard, permettant à l’attaquant d’obtenir environ 162 000 milliards de points de récompense, puis d’en faire l’échange à un ratio 1:1 contre 150 000 SUI.
Les enregistrements des transactions on-chain peuvent être consultés via la valeur de hachage suivante : 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Journal récent des événements de faille dans Sui DeFi
D’après des informations rapportées publiquement, au début d’avril 2026, le protocole Volo sur le réseau Sui a subi une attaque similaire. L’objectif était également un contrat subordonné plutôt que la logique d’accord centrale ; les pertes s’élèveraient à environ 3,5 millions de dollars. De plus, une semaine avant l’attaque, un événement d’attaque par pont (bridge) a eu lieu sur le réseau Ethereum : environ 292 millions de dollars de jetons relancés sans garantie (re-staking) ont été dérobés.
Au moment de la publication de ce rapport, la Sui Foundation et Mysten Labs n’avaient publié aucune déclaration publique au sujet de l’événement Scallop. Selon les explications officielles de Scallop, le protocole prévoit de procéder à un audit complet de tous les anciens paquets existants ; le calendrier de l’audit reste à déterminer.
Questions fréquentes
À quel moment cette attaque par faille a-t-elle eu lieu, et quelle est l’ampleur des pertes ?
D’après l’annonce officielle de Scallop sur la plateforme X, l’attaque a eu lieu le 26 avril 2026 (dimanche) à 12:50 UTC. L’attaquant a extrait environ 150 000 SUI depuis le contrat de récompenses du sSUI spool abandonné. Le pool de liquidités du prêt-décentralisé et les dépôts des utilisateurs sur d’autres marchés n’ont pas été affectés.
Quelles promesses officielles Scallop a-t-il faites concernant cette attaque ?
D’après la déclaration officielle de Scallop, le protocole a gelé les contrats touchés dans les minutes qui ont suivi l’attaque, et a restauré l’intégralité des fonctions à 14:42 UTC (environ deux heures après la publication de l’annonce). Scallop confirme qu’il indemnisera intégralement toutes les pertes avec les fonds de l’entreprise, que les rendements des utilisateurs ne seront pas affectés, et prévoit d’effectuer un audit complet de tous les anciens paquets existants.
Quelle est la cause technique fondamentale de cette faille, et quel rapport a-t-elle avec l’architecture technique du réseau Sui ?
D’après l’analyse indépendante on-chain, la faille provient d’un compteur last_index non initialisé dans le paquet V2 spool abandonné déployé en novembre 2023. Sur le réseau Sui, les paquets déjà déployés sont immuables ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables, ce qui permet à l’attaquant d’exploiter du code abandonné vieux de plus de 17 mois pour extraire 150 000 SUI.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Aave Labs fait une proposition à Arbitrum : dégel de 30 765 ETH pour indemniser les victimes
Selon la proposition publiée par Aave Labs le 25 avril sur le forum de gouvernance d’Arbitrum, Aave Labs exige qu’Arbitrum, l’organisation autonome décentralisée (DAO), débloque 30 765 ETH liés à l’attaque contre Kelp DAO, et transfère les fonds susmentionnés au fonds de relance « DeFi United » afin de rétablir le support de rsETH et d’indemniser les détenteurs.
MarketWhisperIl y a 1h
Western Union lancera la stablecoin USDPT en mai, et présentera un réseau d’actifs numériques et la carte stable
Message de Gate News, 27 avril — Western Union a annoncé, lors de son appel aux résultats du premier trimestre le 24 avril, que sa stablecoin basée sur Solana, USDPT, en est à l’étape finale de préparation et devrait être lancée le mois prochain. Le PDG et président Devin McGranahan a déclaré : "Ce n’est plus une question de savoir si Western
GateNewsIl y a 1h
Jupiter Lend augmente la limite d’emprunt JLP/JupUSD à $40 million
Message des actualités de Gate, 27 avril — Jupiter Lend a augmenté sa limite d’emprunt JLP/JupUSD de $25 million à $40 million. Les utilisateurs peuvent désormais emprunter jusqu’à 85% de LTV ou effectuer des opérations récursives sur JLP.
Le protocole a annoncé l’ajustement via les réseaux sociaux.
GateNewsIl y a 1h
Polymarket annonce une mise à niveau le 28 avril : les actifs en garantie sont transférés vers pUSD, les transactions sont interrompues pendant environ 1 heure
Selon l’annonce officielle publiée par les développeurs de Polymarket sur la plateforme X le 27 avril, Polymarket lancera une mise à niveau complète de l’infrastructure de la plateforme le 28 avril à 11:00 UTC, et les transactions seront interrompues pendant environ 1 heure. Cette mise à niveau couvre de nouveaux contrats de trading de nouvelle génération, la refonte du carnet d’ordres, ainsi que l’introduction de nouveaux jetons de garantie pUSD, les actifs de garantie existants de la plateforme étant transférés de USDC.e vers pUSD.
MarketWhisperIl y a 1h
Polymarket met à niveau sa plateforme le 28 avril et migre la garantie de USDC.e vers pUSD
Message des actualités Gate, 27 avril — Polymarket a annoncé qu’il mettra à niveau sa plateforme le 28 avril 2026, vers environ 19:00 UTC, avec des échanges suspendus pendant environ une heure pendant la fenêtre de maintenance. La mise à niveau inclut un nouveau contrat de trading de génération (CTF Exchange V2), un carnet d’ordres reconstruit
GateNewsIl y a 3h
Curve propose un plan de recouvrement fondé sur le marché pour $700K les créances douteuses dans le marché CRV-long LlamaLend
Message d’actualité Gate News, 27 avril — L’équipe de Curve a dévoilé une proposition de gouvernance le 27 avril afin de traiter environ 700 000 $ de créances douteuses issues du marché CRV-long LlamaLend, survenues le 10 octobre 2025. Le mécanisme de recouvrement proposé s’appuie sur la nature optionnelle des actifs du coffre CRV-long : la valeur du coffre augmente lorsque le prix du CRV monte, mais ne subit pas de pertes supplémentaires lorsque le prix baisse.
GateNewsIl y a 3h
