Scallop Protocol verloor $142K bij een flash loan gecombineerd met een oracle-manipulatieatval

Scallop Protocol werd zondag getroffen door een flash loan-exploit. De aanvaller zou ongeveer $142.000 (150.000 SUI) hebben weggesluisd in wat een zeer gerichte oracle-manipulatieaanval lijkt te zijn. Deze aanval raakte de kerncontracten van het protocol niet, maar legde een dieper ontwerpfout bloot.

Een aanvaller zou misbruik hebben gemaakt van een verouderd nevencontract dat gekoppeld was aan Scallop's sSUI-beloningspool. Het team benadrukt dat het kernprotocol intact blijft en dat alle gebruikersstortingen veilig zijn. Het verlies is echter volledig beperkt tot dat geïsoleerde onderdeel.

Oude code of oracle-fout?

Analisten suggereren dat het kernprobleem de manipulatie van Scallop's aangepaste oracle-prijsfeeds was. Hierdoor kon de aanvaller de SUI/USDC-koersen kunstmatig verlagen en activa tegen die vertekende prijzen lenen. Vervolgens werd de flash loan binnen dezelfde transactie terugbetaald. Uiteindelijk ging de verdachte er vandoor met het verschil.

Dit volgt een bekend DeFi-aanvalspatroon; de uitvoering bij dit incident was echter ongewoon precies. De aanvaller richtte zich niet op actieve code of standaard SDK-routes. Ze werkten samen met een ouder V2-contract uit november 2023. Dit was een versie die was achtergelaten maar nog steeds aanroepbaar was op de blockchain. Sui houdt alle geïmplementeerde contractversies onveranderlijk en toegankelijk. Daarom werd dit verouderde pakket een verborgen aanvalsoppervlak.

De Sui-prijs is na de exploit niet gedaald. In de afgelopen 24 uur is het bijna 2% gestegen. Sui wordt ten tijde van publicatie verhandeld voor $0,94. Het 24-uurs handelsvolume schommelt rond de $187 miljoen.

Een expert vermeldde in een bericht dat de fout zelf subtiel maar ernstig was. In het verouderde contract werd een sleutelvariabele "last_index" nooit geïnitialiseerd bij het aanmaken van een nieuw account. Hierdoor kon de aanvaller beloningen claimen alsof hij vanaf het begin van de pool aan het staken was.

Doordat de beloningsindex in de loop van de tijd was gegroeid, slaagde de aanvaller erin zichzelf in één transactie de gehele beloningspool toe te schrijven. Hij vermeldde dat de Spool-index over 20 maanden groeide tot 1,19 miljard. 

De aanvaller stakete 136K sSUI en kreeg 162 biljoen punten toegeschreven. De beloningspool had echter een wisselkoers van 1:1 (teller en noemer beide = 1), dus 162 biljoen punten werden rechtstreeks omgezet naar 162K SUI aan beloningen. De pool had slechts 150K SUI en al die middelen werden weggesluisd.

On-chain data toont aan dat de gestolen fondsen snel werden doorgestuurd via een mixingdienst, vergelijkbaar met Tornado Cash op Sui. Dit maakt het herstel nog moeilijker.

Scallop weer online na hack

Het team van Scallop reageerde door de activiteiten tijdelijk te pauzeren. Vervolgens meldden ze dat de kerncontracten zijn ontgrendeld en alle activiteiten zijn hervat. Een X-bericht benadrukte dat het probleem geen verband hield met het kernprotocol en beperkt was tot een verouderd beloningscontract. Uiteindelijk waren de gebruikersstortingen niet beïnvloed en blijven alle fondsen veilig. Opnames en stortingen verlopen nu normaal.

De aanvaller zou contact hebben opgenomen met het team en aangeboden hebben om 80% van de fondsen terug te geven in ruil voor een white-hat-bounty. Het incident wordt nu onderzocht. Het team zal nagaan hoe de fout eerdere audits door bedrijven zoals OtterSec en MoveBit is gepasseerd.

Cryptopolitan meldde dat veel grote incidenten van april 2026 niet afkomstig waren van kernprotocollogica. Ze ontstonden uit oude contracten, adapters of infrastructuurlagen die toegankelijk maar over het hoofd gezien blijven. De cumulatieve verliezen overschreden medio april $750 miljoen. April 2026 alleen al was verantwoordelijk voor meer dan $600 miljoen aan gestolen fondsen bij 12 grote incidenten. 

Kelp DAO en Drift Protocol zijn samen goed voor ongeveer 95% van de verliezen in april. De aanval op Kelp resulteerde in $177 miljoen aan slechte schulden op Aave. Ondertussen slaagde de Beveiligingsraad van Arbitrum erin 30.766 ETH (ter waarde van ongeveer $71 miljoen) van de gestolen fondsen te bevriezen.

Hyperliquid is nog steeds het grootste token in de DeFi-categorie. De HYPE-prijs is in de afgelopen 30 dagen met 10% gestegen. Het wordt ten tijde van publicatie verhandeld voor $41,95. Chainlink staat op de 2e plaats. LINK werd verhandeld rond $9,4.

Uw bank gebruikt uw geld. U krijgt de kruimels. Bekijk onze gratis video over hoe u uw eigen bank kunt worden