Scallop Protocol verlor 142.000 $ bei einem Flash-Loan-Angriff kombiniert mit einer Oracle-Manipulation

Das Scallop Protocol wurde am Sonntag von einem Flash-Loan-Exploit getroffen. Der Angreifer soll dabei rund 142.000 $ (150.000 SUI) abgezogen haben, was einem hochgezielten Oracle-Manipulationsangriff entspricht. Dieser Angriff berührte nicht die Kern-Contracts des Protokolls, legte jedoch einen tieferen Designfehler offen.

Ein Angreifer soll einen veralteten Nebenvertrag ausgenutzt haben, der mit Scallops sSUI-Bonuspool verbunden ist. Das Team betont, dass das Kernprotokoll intakt geblieben ist und alle Nutzereinlagen sicher sind. Der Verlust ist jedoch vollständig auf diesen isolierten Bereich beschränkt.

Alter Code oder Oracle-Fehler?

Analysten vermuten, dass das Kernproblem die Manipulation der benutzerdefinierten Oracle-Preisfeeds von Scallop war. Dies ermöglichte es dem Angreifer, die SUI/USDC-Kurse künstlich zu senken und Vermögenswerte zu diesen verzerrten Preisen zu leihen. Anschließend wurde der Flash-Loan innerhalb derselben Transaktion zurückgezahlt. Am Ende ging der Verdächtige mit der Differenz davon.

Dies folgt einem bekannten DeFi-Angriffsmuster, jedoch war die Ausführung in diesem Fall ungewöhnlich präzise. Der Angreifer zielte nicht auf aktiven Code oder Standard-SDK-Routen ab. Er interagierte mit einem älteren V2-Vertrag aus November 2023. Dies war eine Version, die zwar aufgegeben worden war, aber On-Chain aufrufbar blieb. Sui hält alle eingesetzten Vertragsversionen unveränderlich und zugänglich. Deshalb wurde dieses veraltete Paket zu einer versteckten Angriffsfläche.

Der Sui-Preis hat nach dem Exploit keinen Einbruch erlitten. Er ist in den letzten 24 Stunden um fast 2 % gestiegen. Sui wird zum Zeitpunkt der Veröffentlichung bei 0,94 $ gehandelt. Das 24-Stunden-Handelsvolumen liegt bei rund 187 Millionen $.

Ein Experte erwähnte in einem Beitrag, dass der Fehler selbst subtil, aber schwerwiegend war. Im veralteten Vertrag wurde eine Schlüsselvariable „last_index" nie initialisiert, wenn ein neues Konto erstellt wurde. Dies ermöglichte es dem Angreifer, Belohnungen zu beanspruchen, als ob er seit Beginn des Staking-Pools gestakt hätte.

Da der Reward-Index im Laufe der Zeit gewachsen war, konnte sich der Angreifer den gesamten Bonuspool in einer einzigen Transaktion gutschreiben lassen. Er erwähnte, dass der Spool-Index über 20 Monate auf 1,19 Mrd. angewachsen ist. 

Der Angreifer stakte 136K sSUI und erhielt 162 Billionen Punkte gutgeschrieben. Da der Bonuspool jedoch einen 1:1-Wechselkurs betrieb (Zähler und Nenner beide = 1), wurden 162 Billionen Punkte direkt in SUI-Belohnungen im Wert von 162K SUI umgewandelt. Der Pool enthielt nur 150K SUI, und alle wurden abgezogen.

On-Chain-Daten zeigen, dass die gestohlenen Gelder schnell über einen Mixing-Service weitergeleitet wurden, ähnlich wie Tornado Cash auf Sui. Dies macht die Rückgewinnung noch schwieriger.

Scallop nach dem Hack wieder online

Das Scallop-Team reagierte mit einer vorübergehenden Unterbrechung des Betriebs. Anschließend meldete es, dass die Kern-Contracts wieder freigegeben wurden und alle Operationen wieder aufgenommen wurden. Ein X-Beitrag hob hervor, dass das Problem nicht mit dem Kernprotokoll zusammenhing und auf einen veralteten Belohnungsvertrag beschränkt war. Letztendlich wurden die Nutzereinlagen nicht beeinträchtigt und alle Gelder bleiben sicher. Auszahlungen und Einzahlungen laufen nun wieder normal.

Der Angreifer soll das Team kontaktiert und angeboten haben, 80 % der Gelder im Austausch gegen eine White-Hat-Prämie zurückzugeben. Der Vorfall wird nun untersucht. Das Team wird prüfen, wie der Fehler frühere Prüfungen durch Firmen wie OtterSec und MoveBit passieren konnte.

Cryptopolitan berichtete, dass viele der großen Vorfälle im April 2026 nicht aus der Kernprotokoll-Logik stammten. Sie entstanden aus alten Verträgen, Adaptern oder Infrastrukturschichten, die zugänglich, aber übersehen geblieben sind. Die kumulierten Verluste überstiegen bis Mitte April 750 Millionen $. Allein der April 2026 hat bei 12 größeren Vorfällen für über 600 Millionen $ an gestohlenen Geldern gesorgt. 

Kelp DAO und Drift Protocol zusammen machen ca. 95 % der April-Verluste aus. Der Angriff auf Kelp führte zu 177 Millionen $ an Forderungsausfällen bei Aave. Unterdessen fror der Sicherheitsrat von Arbitrum erfolgreich 30.766 ETH (ca. im Wert von 71 Millionen $) der gestohlenen Gelder ein.

Hyperliquid ist nach wie vor der größte Token in der DeFi-Kategorie. Der HYPE-Preis ist in den letzten 30 Tagen um 10 % gestiegen. Er wird zum Zeitpunkt der Veröffentlichung bei 41,95 $ gehandelt. Chainlink belegt den 2. Platz. LINK wurde bei rund 9,4 $ gehandelt.

Ihre Bank verwendet Ihr Geld. Sie bekommen nur die Reste. Sehen Sie sich unser kostenloses Video darüber an, wie Sie Ihre eigene Bank werden können