- Scallop Protocol は、Sui ネットワーク上の廃止された報酬コントラクトを標的とした攻撃により、15 万 SUI トークンを失いました。
- コアプロトコルとユーザーの預金は安全に保たれており、Scallop は財務から全額を補償することを約束しています。
- この事件は、DeFi におけるレガシーコードのリスクの高まりを浮き彫りにしており、4 月のセクター全体の損失額は 6 億ドルを超えています。
戻る
戻る
Scallop Protocol、脆弱性攻撃による 15 万 SUI の損失を全額補償へ
Sui ネットワーク上のレンディングプロトコルである Scallop は、4 月 26 日に廃止された報酬コントラクトから約 14.2 万ドル相当の 15 万 SUI トークンが流出したことを受け、ユーザーに対して全額補償することを約束しました。
「Scallop は損失の 100% を完全にカバーします」と、このマネーマーケットは X(旧 Twitter)上の声明で述べ、基幹業務は 2 時間足らずで再開されたと付け加えました。
この脆弱性は、2023 年 11 月に公開された 17 か月前の V2 spool パッケージにまで遡り、そこには初期化されていない last_index カウンターが含まれていました。攻撃者は約 13.6 万 sSUI をステーキングすることで、あたかも 2023 年 8 月からポジションが存在していたかのようにコントラクトを操作して報酬を請求し、報酬プール全体を枯渇させました。主要なレンディングおよび借入プールは影響を受けていません。
この攻撃は、不変で時代遅れのスマートコントラクトが忘れ去られた攻撃対象領域になり得るという、DeFi セクターにおける根深い脆弱性を浮き彫りにしています。この事件は、Sui 上の Volo Protocol で発生した同様の 350 万ドルの搾取事件に続くものであり、DeFi のハッキング被害がすでに 6 億ドルを超えている今月の状況に拍車をかけており、業界全体のブロックチェーンコードの監査とライフサイクル管理に対する疑問を投げかけています。
レガシーコードが再び牙を向く
トランザクションハッシュ 6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL で記録されたこの攻撃は、Scallop の主要な貸付インフラやユーザーの預金を侵害することはありませんでした。チームは UTC 12:50 に影響を受けたコントラクトを凍結し、14:42 までにすべてのサービスを復旧させました。
独立した分析により、このバグは廃止されたコントラクトが攻撃者の新しいステーキングを、あたかも 20 か月間報酬を得ていたかのように扱ったことに起因していることが判明しました。これにより、搾取者は不当に多額の報酬を請求し、プールに保持されていた 15 万 SUI と引き換えることができました。この事件は、古い、未使用だが依然として呼び出し可能なコントラクトをオンチェーンでアクティブなままにしておくリスクに注目を集めており、これは Sui のような不変のブロックチェーンにとって特有の課題です。
セクター全体の問題
Scallop の事件は、周辺コントラクトが関与した最近の Volo Protocol での 350 万ドルの損失を含め、Sui ネットワーク上の一連の脆弱性攻撃の最新事例です。2026 年 4 月は DeFi セキュリティにとって過酷な月となっており、13 件の事件によるハッキングの総損失額は 6 億 600 万ドルを超えています。これにより、4 月は Aave での 2 億 9,200 万ドルの Kelp DAO ディペグ事案のような重大な事件を彷彿とさせる、DeFi セキュリティにとって最悪の月の一つになる勢いです。
攻撃後、攻撃者は Scallop チームに連絡し、ホワイトハット報奨金と引き換えに盗まれた資金の 80% を返還することを提案したと報じられています。チームはまた、OtterSec や MoveBit などの企業による以前のセキュリティ監査があったにもかかわらず、どのようにして脆弱性が見逃されたのかを調査しています。Sui Foundation も Mysten Labs も、この件に関して公式声明を発表していません。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。