L’accord de prêt-décentralisé sur le réseau Sui Scallop, publié le 26 avril (dimanche) via la plateforme X, confirme avoir subi une attaque par faille. L’attaquant a extrait environ 150 000 jetons SUI d’un contrat de récompenses abandonné associé à sSUI spool. D’après la déclaration officielle, le pool de liquidités principal et les dépôts des utilisateurs n’ont pas été affectés. L’accord a été rétabli pour les retraits et les dépôts, et confirme que toutes les pertes seront entièrement indemnisées avec les fonds de l’entreprise.
Chronologie de l’événement et réponse officielle de Scallop
D’après l’annonce sur la plateforme X officielle de Scallop (26 avril à 12:50 UTC), l’objectif de l’attaque était le contrat de récompenses subordonné du sSUI spool ; ce contrat constitue la couche d’incitation de l’accord pour les déposants SUI, et non la logique de prêt-décentralisé centrale. L’équipe Scallop a gelé le contrat touché dans les minutes qui ont suivi l’événement ; le contrat principal a été gelé jusqu’à ce que la mise en pause soit levée dans les deux heures. Les retraits et les rechargements ont repris à 14:42 UTC.
La déclaration officielle de Scallop indique : « Scallop indemnisera intégralement 100% des pertes. »
Analyse technique de la faille : compteur non initialisé dans le paquet abandonné de 2023
(Source : Vadim)
D’après une analyse indépendante on-chain, le point d’entrée de l’attaque est le paquet V2 spool abandonné que Scallop a déployé en novembre 2023, soit plus de 17 mois avant la présente attaque. Dans l’architecture technique du réseau Sui, les paquets déjà déployés ne peuvent pas être modifiés ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables.
L’attaquant a identifié dans le paquet un compteur last_index non initialisé, utilisé pour suivre les récompenses accumulées des stakers. L’attaquant a misé environ 136 000 sSUI ; le système a traité cette position comme une position qui existait depuis le lancement du spool en août 2023. Après une accumulation exponentielle d’environ 20 mois, l’indice du spool a atteint environ 1,19 milliard, permettant à l’attaquant d’obtenir environ 162 000 milliards de points de récompense, puis d’en faire l’échange à un ratio 1:1 contre 150 000 SUI.
Les enregistrements des transactions on-chain peuvent être consultés via la valeur de hachage suivante : 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Journal récent des événements de faille dans Sui DeFi
D’après des informations rapportées publiquement, au début d’avril 2026, le protocole Volo sur le réseau Sui a subi une attaque similaire. L’objectif était également un contrat subordonné plutôt que la logique d’accord centrale ; les pertes s’élèveraient à environ 3,5 millions de dollars. De plus, une semaine avant l’attaque, un événement d’attaque par pont (bridge) a eu lieu sur le réseau Ethereum : environ 292 millions de dollars de jetons relancés sans garantie (re-staking) ont été dérobés.
Au moment de la publication de ce rapport, la Sui Foundation et Mysten Labs n’avaient publié aucune déclaration publique au sujet de l’événement Scallop. Selon les explications officielles de Scallop, le protocole prévoit de procéder à un audit complet de tous les anciens paquets existants ; le calendrier de l’audit reste à déterminer.
Questions fréquentes
À quel moment cette attaque par faille a-t-elle eu lieu, et quelle est l’ampleur des pertes ?
D’après l’annonce officielle de Scallop sur la plateforme X, l’attaque a eu lieu le 26 avril 2026 (dimanche) à 12:50 UTC. L’attaquant a extrait environ 150 000 SUI depuis le contrat de récompenses du sSUI spool abandonné. Le pool de liquidités du prêt-décentralisé et les dépôts des utilisateurs sur d’autres marchés n’ont pas été affectés.
Quelles promesses officielles Scallop a-t-il faites concernant cette attaque ?
D’après la déclaration officielle de Scallop, le protocole a gelé les contrats touchés dans les minutes qui ont suivi l’attaque, et a restauré l’intégralité des fonctions à 14:42 UTC (environ deux heures après la publication de l’annonce). Scallop confirme qu’il indemnisera intégralement toutes les pertes avec les fonds de l’entreprise, que les rendements des utilisateurs ne seront pas affectés, et prévoit d’effectuer un audit complet de tous les anciens paquets existants.
Quelle est la cause technique fondamentale de cette faille, et quel rapport a-t-elle avec l’architecture technique du réseau Sui ?
D’après l’analyse indépendante on-chain, la faille provient d’un compteur last_index non initialisé dans le paquet V2 spool abandonné déployé en novembre 2023. Sur le réseau Sui, les paquets déjà déployés sont immuables ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables, ce qui permet à l’attaquant d’exploiter du code abandonné vieux de plus de 17 mois pour extraire 150 000 SUI.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Solana choisit Falcon pour la cryptographie post-quantique, préparations de migration terminées
Message de Gate News, 27 avril — L’équipe officielle de Solana a publié une feuille de route complète sur l’informatique quantique, réaffirmant que les menaces quantiques restent encore des années à l’horizon, tandis que l’écosystème a déjà achevé d’importantes recherches et des préparations techniques.
Deux équipes indépendantes de développement de clients de validateurs,
GateNewsIl y a 18m
Alphea lance une blockchain Layer 1 native de l’IA avec une exécution par agent autonome
Message de Gate News, 27 avril — Alphea, une plateforme blockchain Layer 1 nouvellement dévoilée, conçue pour l’infrastructure IA, a officiellement présenté son environnement d’exécution décentralisé au Hong Kong Web3 Festival 2026. La plateforme intègre l’exécution, la mémoire persistante et le calcul vérifiable comme fonctionnalités fondamentales au niveau de la blockchain plutôt que comme des composants optionnels de la couche applicative, permettant aux agents IA autonomes de fonctionner indépendamment.
GateNewsIl y a 40m
Lise clôture la première IPO tokenisée au monde sur une bourse réglementée
Message de Gate News, 27 avril — Lise (Lightning Stock Exchange), une bourse réglementée basée à Paris, a clôturé ce qu'elle décrit comme la première introduction en bourse (IPO) (IPO) au monde exécutée sur une infrastructure de marché entièrement réglementée, nativement tokenisée. ST GROUP, une PME industrielle française fournissant
GateNewsIl y a 1h
Le pont inter-chaînes de Maple Finance dépasse $7B en volume total
Message des actualités Gate News, 27 avril — Maple Finance a annoncé lundi que son pont inter-chaînes a traité plus de $7 milliards de dollars de volume total, marquant une étape importante pour le protocole.
La réussite reflète une adoption croissante des actifs de rendement en dollars de Maple sur plusieurs écosystèmes blockchain, démontrant la demande du marché pour des produits de stablecoin générateurs de rendement au-delà des déploiements sur une seule chaîne. L’infrastructure de pont de Maple réduit les frictions dans le mouvement d’actifs inter-chaînes, permettant aux utilisateurs d’accéder à ses produits à revenu fixe sur différentes chaînes.
GateNewsIl y a 1h
Controverse de la fourche Bitcoin : le plan eCash vise les avoirs cachés de Satoshi
Une nouvelle proposition de hard fork de Bitcoin par le développeur Paul Sztorc a déclenché un intense débat au sein de la communauté crypto. Le fork prévu, nommé eCash, devrait être lancé en août 2026 et distribuerait des tokens aux détenteurs de Bitcoin dans un ratio de 1:1. Cependant, la proposition a suscité des critiques en raison de
CryptometerIoIl y a 1h
Tether LANCE Mining Development Kit (MDK), un cadre open-source pour les mineurs Bitcoin
Message de Gate News, 27 avril — Tether a annoncé le lancement de Mining Development Kit (MDK), un framework open-source full-stack conçu pour offrir un contrôle unifié sur l’ensemble de la pile d’infrastructure pour les mineurs et développeurs Bitcoin.
MDK propose une architecture modulaire ouverte avec
GateNewsIl y a 3h
