Les récents événements de pertes chez Scallop méritent une attention particulière. La plus grande plateforme de prêt de Sui a été attaquée le 26 avril, avec une perte d'environ 140 000 dollars. À première vue, le montant n'est pas énorme, mais les problèmes sous-jacents sont bien plus préoccupants que le chiffre lui-même.

Ce point d'entrée de l'attaque est très intéressant — il ne s'est pas concentré sur le système de prêt principal de Scallop, mais a trouvé une faille dans un contrat de récompense abandonné depuis longtemps. C'est comme si la porte principale d'une maison était bien protégée, mais que la porte arrière abandonnée n'était pas entretenue. L'attaquant est entré par cette vieille porte oubliée.

Ce qui est intéressant, c'est que Scallop a récemment terminé, en février 2025, un audit complet dirigé par la Fondation Sui. Mais malgré cela, ce contrat abandonné est resté une faiblesse. Certains analystes soulignent que l'audit ne garantit pas la sécurité, comme le montre l'exemple de Kelp DAO — après deux audits indépendants, ils ont quand même perdu 292 millions de dollars.

La réponse de l'équipe de Scallop a été plutôt bonne, ils ont rapidement isolé la faille, suspendu le contrat concerné, et les fonds des utilisateurs n'ont pas été affectés. Mais cet incident a mis en lumière un problème de plus en plus courant : dans l'écosystème Sui, de nombreux anciens contrats sont utilisés comme vecteurs d'attaque.

Ce qui est encore plus inquiétant, c'est la situation globale du mois d'avril. Ce mois-ci, le secteur DeFi a enregistré 13 incidents de sécurité, avec une perte totale de plus de 606 millions de dollars, faisant de ce mois le plus catastrophique depuis un incident majeur dans une grande plateforme d'échange. Le réseau Sui a été particulièrement touché — Cetus a perdu 223 millions de dollars en mai 2025, Nemo a perdu 2,4 millions de dollars en septembre, et Volo a perdu 3,5 millions de dollars le 22 avril. La fréquence de ces événements montre qu'il ne s'agit pas de vulnérabilités isolées, mais de défis systémiques.

Comment réduire les risques ? D'abord, évitez d'utiliser ces anciens contrats qui ont été désactivés. Ensuite, retirez régulièrement vos récompenses pour éviter qu'elles ne restent inutilisées. Plus important encore, diversifiez vos fonds, ne mettez pas tous vos œufs dans le même panier. Surveillez aussi les annonces officielles avant d'entrer en position.

D'un point de vue plus large, le processus d'audit doit être renforcé, notamment en ce qui concerne l'examen des contrats abandonnés. La série d'incidents en avril pourrait obliger chaque protocole à revoir la gestion du cycle de vie de ses contrats. Le cas de Scallop donne un avertissement à toute l'industrie.