L’accord de prêt-décentralisé sur le réseau Sui Scallop, publié le 26 avril (dimanche) via la plateforme X, confirme avoir subi une attaque par faille. L’attaquant a extrait environ 150 000 jetons SUI d’un contrat de récompenses abandonné associé à sSUI spool. D’après la déclaration officielle, le pool de liquidités principal et les dépôts des utilisateurs n’ont pas été affectés. L’accord a été rétabli pour les retraits et les dépôts, et confirme que toutes les pertes seront entièrement indemnisées avec les fonds de l’entreprise.
Chronologie de l’événement et réponse officielle de Scallop
D’après l’annonce sur la plateforme X officielle de Scallop (26 avril à 12:50 UTC), l’objectif de l’attaque était le contrat de récompenses subordonné du sSUI spool ; ce contrat constitue la couche d’incitation de l’accord pour les déposants SUI, et non la logique de prêt-décentralisé centrale. L’équipe Scallop a gelé le contrat touché dans les minutes qui ont suivi l’événement ; le contrat principal a été gelé jusqu’à ce que la mise en pause soit levée dans les deux heures. Les retraits et les rechargements ont repris à 14:42 UTC.
La déclaration officielle de Scallop indique : « Scallop indemnisera intégralement 100% des pertes. »
Analyse technique de la faille : compteur non initialisé dans le paquet abandonné de 2023
(Source : Vadim)
D’après une analyse indépendante on-chain, le point d’entrée de l’attaque est le paquet V2 spool abandonné que Scallop a déployé en novembre 2023, soit plus de 17 mois avant la présente attaque. Dans l’architecture technique du réseau Sui, les paquets déjà déployés ne peuvent pas être modifiés ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables.
L’attaquant a identifié dans le paquet un compteur last_index non initialisé, utilisé pour suivre les récompenses accumulées des stakers. L’attaquant a misé environ 136 000 sSUI ; le système a traité cette position comme une position qui existait depuis le lancement du spool en août 2023. Après une accumulation exponentielle d’environ 20 mois, l’indice du spool a atteint environ 1,19 milliard, permettant à l’attaquant d’obtenir environ 162 000 milliards de points de récompense, puis d’en faire l’échange à un ratio 1:1 contre 150 000 SUI.
Les enregistrements des transactions on-chain peuvent être consultés via la valeur de hachage suivante : 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Journal récent des événements de faille dans Sui DeFi
D’après des informations rapportées publiquement, au début d’avril 2026, le protocole Volo sur le réseau Sui a subi une attaque similaire. L’objectif était également un contrat subordonné plutôt que la logique d’accord centrale ; les pertes s’élèveraient à environ 3,5 millions de dollars. De plus, une semaine avant l’attaque, un événement d’attaque par pont (bridge) a eu lieu sur le réseau Ethereum : environ 292 millions de dollars de jetons relancés sans garantie (re-staking) ont été dérobés.
Au moment de la publication de ce rapport, la Sui Foundation et Mysten Labs n’avaient publié aucune déclaration publique au sujet de l’événement Scallop. Selon les explications officielles de Scallop, le protocole prévoit de procéder à un audit complet de tous les anciens paquets existants ; le calendrier de l’audit reste à déterminer.
Questions fréquentes
À quel moment cette attaque par faille a-t-elle eu lieu, et quelle est l’ampleur des pertes ?
D’après l’annonce officielle de Scallop sur la plateforme X, l’attaque a eu lieu le 26 avril 2026 (dimanche) à 12:50 UTC. L’attaquant a extrait environ 150 000 SUI depuis le contrat de récompenses du sSUI spool abandonné. Le pool de liquidités du prêt-décentralisé et les dépôts des utilisateurs sur d’autres marchés n’ont pas été affectés.
Quelles promesses officielles Scallop a-t-il faites concernant cette attaque ?
D’après la déclaration officielle de Scallop, le protocole a gelé les contrats touchés dans les minutes qui ont suivi l’attaque, et a restauré l’intégralité des fonctions à 14:42 UTC (environ deux heures après la publication de l’annonce). Scallop confirme qu’il indemnisera intégralement toutes les pertes avec les fonds de l’entreprise, que les rendements des utilisateurs ne seront pas affectés, et prévoit d’effectuer un audit complet de tous les anciens paquets existants.
Quelle est la cause technique fondamentale de cette faille, et quel rapport a-t-elle avec l’architecture technique du réseau Sui ?
D’après l’analyse indépendante on-chain, la faille provient d’un compteur last_index non initialisé dans le paquet V2 spool abandonné déployé en novembre 2023. Sur le réseau Sui, les paquets déjà déployés sont immuables ; à moins d’avoir explicitement défini le contrôle de version, les anciennes versions restent appelables, ce qui permet à l’attaquant d’exploiter du code abandonné vieux de plus de 17 mois pour extraire 150 000 SUI.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Les agents IA stimulent la demande de paiements en crypto, x402 traite 165M transactions
Message de Gate News, 27 avril — Jesse Pollak, un dirigeant d’un important CEX, a soutenu que les agents d’IA autonomes créent un nouveau « centre de demande » pour les paiements en crypto, nécessitant une infrastructure de paiement native du logiciel. Le 20 avril, il a été annoncé que l’écosystème x402 avait traité plus de 165
GateNewsIl y a 7m
Un développeur propose un hard fork de Bitcoin vers eCash avec une distribution 1:1, déclenchant un débat sur l’attribution des adresses de Satoshi
Message de Gate News, 27 avril — Le développeur Paul Sztorc a proposé un hard fork de Bitcoin prévu pour août 2026 au bloc 964,000 afin de créer une nouvelle blockchain appelée eCash, selon CoinDesk. Le fork distribuera de l’eCash aux utilisateurs détenant du BTC dans un ratio 1:1 et introduira une architecture de sidechain Drivechains
GateNewsIl y a 48m
Western Union Remittance Conférence des résultats T1 confirmée : Le stablecoin USDPT sera lancé début mai
Selon le contenu de la conférence téléphonique sur les résultats du T1 de Western Union du 24 avril, le président-directeur général de Western Union, Devin McGranahan, a confirmé que la stablecoin USDPT de la société se trouve actuellement dans la dernière phase de préparation, avec un lancement prévu en mai.
MarketWhisperIl y a 1h
Justin Sun qualifie TRON de premier réseau résistant aux attaques quantiques au monde, mise en ligne du réseau principal au T3 2026
Le fondateur de TRON, Justin Sun, a annoncé sur X le 26 avril que TRON prévoyait d’activer des fonctionnalités de résistance aux attaques quantiques sur son réseau de test au cours du deuxième trimestre, tandis que le déploiement du réseau principal est prévu pour le troisième trimestre. Dans la publication, Justin Sun a qualifié ce plan de mise à niveau de « premier réseau mondial résistant aux attaques quantiques ». Bien que la menace quantique reste pour l’instant majoritairement cantonnée au plan théorique, Ethereum, Solana, etc. ont déjà publié des plans ou des calendriers de mise à niveau vers la cryptographie post-quantique (PQC).
MarketWhisperIl y a 1h
Le financement participatif DeFi United dépasse 10,2 000 ETH, AAVE rebondit à 100 dollars
Selon la page officielle de DeFi United, le fonds multi-protocoles de secours DeFi United, lancé sous l’impulsion des fournisseurs de services d’Aave, a recueilli, au 27 avril, plus de 102 000 ETH, dans le but de combler le déficit de créances irrécouvrables apparu sur le marché Aave V3 après l’incident d’attaque du pont inter-chaînes de Kelp DAO du 18 avril. AAVE a brièvement franchi 100 dollars, puis est retombé.
MarketWhisperIl y a 2h
Le réseau principal DPoS de Vcitychain passe en ligne avec un système de consensus développé en interne
Message de Gate News, 27 avril — Vcitychain, une blockchain de qualité commerciale, a officiellement lancé aujourd’hui son réseau principal DPoS, en passant à un système de consensus Delegated Proof of Stake (DPoS) développé en interne.
La mise à niveau vise à améliorer les performances du réseau, à accroître la décentralisation et à renforcer la gouvernance en chaîne en matière de transparence, en améliorant la transparence de la gouvernance en chaîne et la
GateNewsIl y a 2h
