La plateforme de prêt décentralisé Scallop, déployée sur la blockchain SUI, a subi un exploit sur son pool de récompenses sSUI le 27 avril 2026, avec une perte estimée entre 142 000 et 150 000 dollars selon les sources. Le protocole a rapidement repris ses opérations et s’est engagé à couvrir l’intégralité des pertes. L’attaquant a, de son côté, proposé de restituer 80 % des fonds en échange d’une prime négociée.
Au programme
- Entre 142 000 $ (Crypto Times) et 150 000 SUI (Cointelegraph) dérobés via un flash loan sur un contrat déprécié
- Le protocole Scallop a repris ses activités rapidement et garantit la couverture totale des pertes utilisateurs
- L’attaquant propose de rendre 80 % des fonds, ouvrant une négociation de type “bug bounty forcé”
Comment l’exploit a-t-il été réalisé ?
Le vecteur utilisé est un flash loan, un mécanisme de prêt instantané sans collatéral propre à la DeFi. L’attaquant a ciblé un contrat dit “déprécié”, c’est-à-dire officiellement abandonné par l’équipe mais toujours actif sur la blockchain. Cette catégorie de cibles représente un angle mort classique : les équipes cessent de surveiller ces contrats après migration, alors qu’ils restent accessibles et exploitables.
Le pool visé était le pool de récompenses sSUI, l’actif de staking liquide natif de Scallop. Les données disponibles indiquent qu’environ 150 000 SUI ont été extraits (Cointelegraph), soit une valeur d’environ 142 000 $ au moment des faits (Crypto Times). La légère divergence entre les 2 chiffres s’explique probablement par le cours du SUI au moment du calcul, les 2 sources ne précisant pas le même instant de référence.
Ce type d’attaque ne nécessite pas de compétences cryptographiques exceptionnelles. Il suffit d’identifier un contrat non patché, de construire une transaction exploitant ses failles logiques et de la financer via un flash loan remboursé dans le même bloc. Le coût d’entrée pour l’attaquant est quasi nul, l’essentiel du risque pesant sur le protocole.
Quelle a été la réponse de Scallop ?
Le protocole a réagi rapidement. Les opérations ont été suspendues le temps d’évaluer l’étendue des dégâts, puis reprises dans les heures suivant l’incident. L’équipe a confirmé que les dépôts des utilisateurs n’avaient pas été affectés et que la perte serait intégralement absorbée par le trésor du protocole.
“The protocol restored services shortly after the exploit, assuring users that deposits remain secure as the attacker proposes returning 80% of funds for a negotiated bounty.” - Crypto Times, 27 avril 2026
Cette formule du “contre-bounty” est devenue un standard informel dans la DeFi : l’attaquant conserve une prime (ici 20 % soit environ 28 000 à 30 000 $) en échange de la restitution du reste. C’est une pratique que l’on a vue se généraliser depuis des incidents comme le contre-exploit de Wormhole en 2024, où 225 millions de dollars avaient été récupérés via une manœuvre similaire. Cette approche, bien que moralement ambiguë, est souvent préférée à une procédure judiciaire longue et incertaine face à un acteur anonyme.
Pour Scallop, la somme en jeu reste gérable. La plateforme a su contenir la communication et rassurer sa communauté rapidement, deux facteurs déterminants pour éviter une fuite des liquidités post-incident.
Pourquoi les contrats dépréciés restent une menace persistante ?
Les contrats dépréciés constituent l’un des angles morts les plus sous-estimés de la DeFi. Lorsqu’un protocole migre vers une nouvelle version, les anciens contrats subsistent sur la chaîne. Ils ne sont plus audités, plus surveillés, mais restent parfois connectés à des pools contenant des fonds réels.
Ce schéma n’est pas nouveau. L’exploit de Scallop rejoint une liste croissante d’incidents liés à des contrats abandonnés ou non patchés, notamment sur des chaînes plus récentes comme SUI où l’écosystème DeFi évolue vite, parfois au détriment des vérifications de sécurité post-migration. On peut établir un parallèle avec l’exploit sur Litecoin MWEB, qui illustre comment une fonctionnalité périphérique mal surveillée peut devenir un vecteur d’attaque.
Les bonnes pratiques recommandent de désactiver explicitement tout contrat déprécié, d’en retirer les fonds résiduels et de mettre en place des alertes de surveillance on-chain sur les adresses concernées. L’incident Scallop rappelle que l’intention d’abandonner un contrat ne suffit pas : seule la désactivation formelle protège.
Questions fréquentes
Qu’est-ce qu’un flash loan dans la DeFi ?
Un flash loan est un prêt sans collatéral emprunté et remboursé dans le même bloc de transaction. Si le remboursement échoue, la transaction est annulée. Ce mécanisme, légitime en arbitrage, sert aussi à financer des exploits à coût quasi nul pour l’attaquant.
Les fonds des utilisateurs de Scallop sont-ils en danger ?
Non. L’équipe de Scallop a confirmé que les dépôts des utilisateurs sont intacts. Seul le pool de récompenses sSUI a été touché. Le protocole s’est engagé à couvrir 100 % de la perte, estimée entre 142 000 et 150 000 dollars selon les sources.
Qu’est-ce qu’un contrat déprécié et pourquoi est-il risqué ?
Un contrat déprécié est un contrat intelligent officiellement abandonné par son équipe, mais toujours actif sur la blockchain. Non surveillé et non patché, il peut conserver des fonds actifs et présenter des failles exploitables, comme l’a démontré l’incident Scallop sur la blockchain SUI.
À retenir
L’exploit de Scallop illustre une vulnérabilité récurrente : les contrats dépréciés laissés actifs après migration. Avec 142 000 $ perdus et une négociation en cours pour récupérer 80 % des fonds, l’issue reste favorable. À surveiller : la résolution de la négociation et les mesures de sécurité post-incident annoncées par l’équipe.
