Scallop Exploit Draine 150K SUI via un Contrat Obsolète alors qu'une Divergence cachée Persiste depuis 17 Mois

Scallop confirme une exploitation ciblée : 150 000 tokens SUI siphonnés depuis le Pool de bonus de récompenses sSUI.

Le protocole DeFi basé sur Sui, Scallop, a confirmé avoir été la cible d'une exploitation qui a vidé environ 150 000 SUI de son pool de récompenses sSUI, révélant ainsi un bug vieux de plusieurs années tapi à l'intérieur d'un Smart Contract (Contrat Intelligent) obsolète.

Selon la déclaration officielle du protocole, ils ont constaté que l'attaquant avait complètement contourné leur base de code active et les interfaces SDK standard. Au lieu de cela, il a appelé une version obsolète du package V2 datant de novembre 2023, qui était toujours on-chain mais inutilisée depuis des mois.

Ce niveau de précision a suscité une attention considérable dans tout l'écosystème. Cette exploitation implique soit une rétro-ingénierie approfondie, soit une grande familiarité avec l'architecture du contrat.

Plus notable encore, la vulnérabilité est restée indétectée pendant près de 17 mois car l'écosystème avait migré vers de nouvelles versions de contrats. Scallop a confirmé l'incident sur Twitter et a indiqué que les utilisateurs étaient désormais en sécurité, des mesures de confinement immédiates ayant été mises en place.

Exploitation d'un mécanisme de calcul des récompenses défectueux

L'exploitation révèle une faille critique dans la logique de calcul des récompenses du contrat obsolète. Elle utilise ce qu'on appelle un « spool index », une valeur en constante augmentation qui représente le total des récompenses accumulées dans ce pool au fil du temps.

En fonctionnement normal, chaque compte utilisateur conserve un last_index au moment du staking. Les récompenses sont calculées sur la différence entre l'index actuel et la valeur stockée, de sorte qu'aucun utilisateur ne peut percevoir des récompenses avant de commencer à staker.

Cependant, dans l'ancien package V2, les comptes spool nouvellement créés n'étaient jamais initialisés ; last_index était toujours égal à zéro. Cette erreur a créé une faille majeure.

Vidage du pool entraînant un rebond massif de points

Les conséquences de ce bug ont été immédiates et graves. Le spool index avait atteint près de 1,19 milliard sur environ 20 mois. L'attaquant s'est vu attribuer un montant exorbitant de 162 billions de points de récompenses, calculé avec 136 000 sSUI stakés.

Aggravant la situation, le pool de récompenses avait un ratio de conversion 1:1, de sorte que chaque point de récompense se convertissait directement en tokens SUI. Cela a permis à l'attaquant de convertir sans difficulté les points obtenus par inflation artificielle en actifs réels.

L'exploitation a conduit au vidage du pool de récompenses, qui contenait environ 150 000 SUI à ce moment-là. Malgré des récompenses rationalisées par l'attaquant bien supérieures au solde du pool, seule la liquidité disponible a été extraite.

Les contrats immuables créent une surface d'attaque permanente

Cet incident illustre l'un des défis systémiques des packages déployés sur l'écosystème Sui : les packages déployés sont immuables. Lorsqu'un Smart Contract (Contrat Intelligent) est mis on-chain, il ne peut être ni supprimé ni modifié. Toutes les versions, passées et présentes, restent appelables indéfiniment.

Bien que Scallop ait redirigé les utilisateurs vers un nouveau package plus sécurisé via leur SDK, l'ancien contrat V2 restait accessible. Les objets Spooled et RewardsPool étant partagés, l'attaquant a pu contourner complètement la logique mise à jour, car aucune restriction de version ne leur est appliquée.

Ce type de vulnérabilité, reclassé comme risque de « stale package », met en lumière un angle mort important pour de nombreux systèmes DeFi. Les contrats hérités peuvent constituer des vecteurs d'attaque permanents car il n'existe pas de vérifications explicites de version intégrées aux objets partagés.

Des schémas de vulnérabilités non essentiels plus larges en cours

L'exploitation de Scallop est un événement parmi d'autres dans une tendance plus large observée tout au long du mois d'avril. Plusieurs attaques récentes ne proviennent pas de la logique centrale du protocole, mais d'aspects périphériques ou négligés. Les vulnérabilités dans l'infrastructure RPC de KelpDAO, la couche de confidentialité (MWEB) de Litecoin et les bugs de contrôle d'accès dans les systèmes d'adaptateurs d'Aethir en sont quelques exemples.

Dans tous les cas, la source était externe au contrat principal et se trouvait dans des modules secondaires ou hérités. L'utilisation d'un tel schéma indique que les adversaires ont modifié leurs tactiques. Les hackers consacrent moins de temps aux contrats principaux qui font l'objet de nombreux audits, et beaucoup plus de temps à attaquer les périphéries de l'écosystème dont la surveillance du périmètre est très faible. Cela exige un changement de paradigme pour les développeurs et les auditeurs. Sécuriser uniquement les nouveaux déploiements ne suffit pas ; tous les contrats historiques, les points d'intégration et les composants d'infrastructure doivent être traités comme une surface de menace active.

Compensation totale et récupération du système par Scallop

Scallop a adopté une approche rapide et décisive pour répondre à l'exploitation. Le contrat attaqué a été immédiatement gelé, ce qui signifie qu'un seul pool de récompenses a été compromis par cette attaque.

Le groupe a confirmé que les contrats principaux restent sécurisés et qu'aucun dépôt d'utilisateur n'a été compromis. Les autres pools restent intacts et les principales fonctions du protocole sont actives dès que les éléments non affectés ont été dégelés.

Notamment, Scallop s'est engagé à compenser 100 % des pertes résultant de l'exploitation. Cet engagement témoigne d'une responsabilité dans la correction de failles de sécurité imprévues et vise à regagner la confiance des utilisateurs.

Les dépôts et les retraits ont repris, indiquant que la stabilité du système a été restaurée.

Leçons tirées du monde de la sécurité DeFi

L'incident Scallop incarne une leçon clé pour l'écosystème DeFi dans son ensemble. Dans un environnement de Smart Contract (Contrat Intelligent) immuable, la sécurité n'est jamais une affaire de configuration unique et définitive.

Chaque version de votre contrat déployé fait partie du système actif. Même un code inactif peut constituer un point de défaillance unique des mois ou des années plus tard, si les mesures de protection appropriées sont faciles à contourner.

À l'avenir, l'écosystème doit adopter des pratiques de contrôle de version plus strictes, une surveillance continue des contrats hérités et élargir les périmètres d'audit pour couvrir tous les déploiements antérieurs. Comme le montre cette exploitation, les attaquants sont prêts à fouiller profondément dans l'historique d'un protocole pour trouver des faiblesses exploitables.

En définitive, la finance décentralisée ne sera aussi durable que les protocoles capables de s'adapter à ce paysage de menaces en constante évolution.

Avertissement : Ceci ne constitue pas un conseil en trading ou en investissement. Effectuez toujours vos propres recherches avant d'acheter toute crypto-monnaie ou d'investir dans des services.

Suivez-nous sur Twitter @themerklehash pour rester informé des dernières actualités en matière de Crypto, NFT, IA, cybersécurité et Métaverse !

L'article Scallop Exploit Drains 150K SUI Through Deprecated Contract As Hidden Vulnerability Lurks For 17 Months est apparu en premier sur The Merkle News.