L'Exploit DeFi de Scallop Expose le Risque des Contrats Obsolètes au Milieu des Pertes de 606 M$ d'Avril 2026

TLDR :

• La perte de 140 000 $ de Scallop provient d'un contrat de récompenses déprécié, et non de l'infrastructure principale du protocole de prêt.
• Avril 2026 a enregistré 13 exploits DeFi, portant les pertes totales du secteur à plus de 606 millions de dollars, le pire mois depuis Bybit.
• Scallop a passé un audit complet de la Sui Foundation en février 2025, mais le contrat déprécié est resté un risque ouvert.
• Les experts recommandent de répartir les fonds, d'éviter les contrats hérités et de retirer régulièrement les récompenses pour réduire l'exposition.

Scallop, le plus grand protocole de prêt de Sui, a subi un exploit le 26 avril 2026, entraînant des pertes d'environ 140 000 $.

L'attaque visait un contrat de récompenses déprécié plutôt que le protocole principal lui-même. Suite à la brèche, l'équipe Scallop a gelé les contrats affectés, identifié la vulnérabilité et rétabli les opérations.

Les dépôts des utilisateurs sont restés intacts tout au long de l'incident. Cet événement s'ajoute à la liste croissante d'exploits DeFi enregistrés au seul mois d'avril 2026.

Un contrat déprécié devient le point d'entrée des attaquants

L'exploit Scallop n'a pas compromis l'infrastructure principale du protocole. L'attaquant a plutôt trouvé une ouverture dans un ancien contrat de récompenses inutilisé.

Cette distinction est importante, car elle montre comment le code hérité peut devenir un passif avec le temps. Les protocoles retirent souvent certains composants sans les éliminer complètement du réseau.

Scallop avait réalisé un audit complet conduit par la Sui Foundation en février 2025. Malgré cet examen, le contrat déprécié est resté un maillon faible.

L'analyste crypto Crypto Patel a noté sur X qu'"audité ne signifie pas sûr", citant Scallop et Kelp DAO comme exemples. Kelp DAO a perdu 292 millions de dollars malgré avoir passé deux audits distincts avant sa brèche.

L'équipe Scallop a réagi rapidement en isolant le bug et en suspendant les contrats concernés. Les opérations ont repris peu après, l'équipe ayant confirmé qu'aucun fonds utilisateur n'était en danger.

La réponse rapide a permis de limiter les dégâts au seul composant déprécié. L'incident a néanmoins attiré l'attention sur la façon dont les anciens contrats sont de plus en plus utilisés comme vecteurs d'attaque.

Ce schéma est devenu plus courant dans l'écosystème Sui ces derniers mois. Les développeurs et les chercheurs en sécurité ont commencé à signaler les contrats inutilisés comme une préoccupation croissante.

Les protocoles qui laissent des composants dépréciés actifs sans désactivation appropriée font face à un risque accru. Le cas Scallop sert de référence pratique pour cette conversation en cours.

Avril 2026 enregistre le pire mois pour les pertes DeFi depuis Bybit

Avril 2026 s'est avéré être un mois difficile pour le secteur DeFi dans son ensemble. Les pertes du secteur ont dépassé 606 millions de dollars, en faisant le pire mois depuis l'incident Bybit.

L'exploit Scallop est la 13e brèche DeFi enregistrée ce mois-ci. Cette fréquence pointe vers un défi systémique auquel font face les plateformes de finance décentralisée.

Le réseau Sui, en particulier, a connu des incidents répétés au cours de la dernière année. Cetus DEX a perdu 223 millions de dollars en mai 2025, suivi de Nemo Protocol qui a perdu 2,4 millions de dollars en septembre 2025.

Volo Protocol a été touché pour 3,5 millions de dollars le 22 avril 2026, quelques jours seulement avant la brèche de Scallop. Ces incidents reflètent un schéma de vulnérabilité récurrent à travers les protocoles basés sur Sui.

La gestion des risques est devenue un sujet pressant parmi les participants DeFi. Crypto Patel a recommandé d'éviter les contrats dépréciés et de retirer régulièrement les récompenses plutôt que de les laisser inactives.

Répartir les fonds sur plusieurs protocoles plutôt que de les concentrer sur une seule plateforme réduit également l'exposition. Surveiller les annonces officielles des protocoles avant d'effectuer des dépôts ajoute une couche de protection supplémentaire.

La communauté DeFi dans son ensemble continue d'examiner comment les processus d'audit peuvent être renforcés. Passer un audit ne garantit pas qu'un protocole est exempt de code exploitable, en particulier dans les composants hérités.

Les révisions de sécurité continues couvrant les contrats dépréciés deviennent une pratique recommandée. Les événements d'avril 2026 sont susceptibles de façonner la façon dont les protocoles abordent la gestion du cycle de vie des contrats à l'avenir.

L'article Scallop DeFi Exploit Exposes Deprecated Contract Risk Amid April 2026's $606M Loss Streak est apparu en premier sur Blockonomi.