ゲートニュース記事、4月26日 — Suiブロックチェーン上の貸付プラットフォームであるScallop Protocolは、sSUI報酬プールに関連する廃止済みのサイドコントラクトを狙ったフラッシュローンの悪用を受け、約$142,000 (150,000 SUI)の損失が発生しました。この攻撃では、オラクルの価格フィードの操作を悪用してSUI/USDCの取引レートを不当に下落させ、歪められた価格で資産を借り入れました。その後、攻撃者は同一トランザクション内でフラッシュローンを返済し、差額を懐に入れました。
問題の核心は、2023年11月にデプロイされた非推奨(廃止済み)のV2コントラクトに起因していました。これにより、新規アカウントが作成された際に、重要な変数である"last_index"が初期化されない状態のまま、オンチェーンで呼び出し可能でした。この欠陥により、攻撃者はプールの開始時からステーキングしていたかのように報酬を請求できました。報酬インデックスは20か月で11.9億まで成長しており、攻撃者は136,000 sSUIをステークしましたが、162兆ポイントのクレジットを受け取りました。報酬プールは1:1の交換レートで運用されていたため、これらのポイントはそのまま162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、資金はすべて引き出されました。オンチェーンデータによれば、盗まれた資金はすぐにミキシングサービスを通してルーティングされており、回収を困難にしていました。
Scallopのチームは対応として、まず一時的に運用を停止し、その後コアコントラクトの凍結を解除して全オペレーションを再開しました。プロトコルは、悪用が廃止済みの報酬コントラクトにのみ限定されており、コアプロトコルやユーザーの預け入れには影響していないこと、そして全資金が安全なままであることを確認しました。その後、攻撃者はチームに連絡し、ホワイトハットの懸賞金と引き換えに盗まれた資金の80%を返す用意があると申し出ました。現在、このインシデントは調査中です。チームは、OtherSecやMoveBitを含む複数の企業による過去の監査で、この欠陥がどのようにして検出を逃れたのかを見直します。
SUI価格は悪用後も堅調で、攻撃から24時間で約2%上昇し、$187 百万程度の1日取引高で$0.94で取引されています。このインシデントは、より広い4月2026年の傾向を反映しており、大規模なDeFiの悪用がコアプロトコルのロジックではなく、廃止済みのコントラクトやインフラ層を狙う形になっています。月内の12の主要インシデントで累積損失は$600 百万を超えています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
$263 百万ドルの暗号通貨窃盗のマネーロンダリングで70か月の刑を言い渡された22歳
米司法省によると、カリフォルニア州在住のエヴァン・タンゲマン(22歳)は、金曜に、多州にまたがる暗号資産の窃盗グループから得た資金のマネーロンダリングに関与したとして、連邦刑務所で70か月の判決を受けた。該当グループは、被害者からデジタル資産を約 $263 百万ドル盗んだという。米国。
CryptoFrontier4時間前
Litecoin、MWEBプライバシーレイヤーのゼロデイ悪用後に深刻なチェーン再編
Gate Newsメッセージ、4月26日 — ライ トコインは土曜の午後、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことを受けて、深刻なチェーン再編を経験した。
GateNews4時間前
Avi Eisenbergに関連するアドレスが新たなオンチェーン活動を示し、安全性への懸念が高まる
ゲートニュース 4月26日 — ブロックチェーン分析プラットフォームのArkhamは、2022年のMango Marketsエクスプロイトで約$110 百万ドルの利益を得た攻撃者Avi Eisenbergに関連していると見られるアドレスから、オンチェーン活動の再開を示す新たな動きを確認した。Eisenbergはこれまで、
GateNews6時間前
SuiチェーンのDeFiレンディングプロトコル「Scallop」がハッキング被害、旧バージョンのコントラクトの脆弱性により15万SUIが盗難
Scallop は Sui チェーンで攻撃を受け、サイドコントラクトにより sSUI 報酬プールが悪用され、約 15 万枚の SUI が盗まれました。中核コントラクトの安全性は確保されており、入金と出金はすでに復旧しています。公式声明は、すでに廃止済みの報酬コントラクトに限られ、ユーザーの資金には影響がありません。前 NEAR の開発者 Vadim は、この脆弱性の原因が 17 か月前の旧版 V2 パッケージにあるとし、last_index が初期化されていなかったため 2023 年以降に報酬が累積されたと指摘しました。修正には、共有オブジェクトにバージョン欄を追加し、バージョンの検証を強化して、古いパッケージがリスクを引き起こさないようにする必要があります。
ChainNewsAbmedia7時間前
Scallop、sSUI報酬プールの脆弱性を発見、150K SUIの損失が発生するも全額の補償を約束
Gate Newsメッセージ、4月26日――Suiエコシステムにおける貸出プロトコルのScallopは、自社のsSUI報酬プールに関連する補助コントラクトで脆弱性が発見されたことを発表し、その結果、約150,000 SUIの損失が発生した。影響を受けたコントラクトは凍結されており、Scallopは、コアとなるコントラクトは引き続き安全であり、影響を受けているのはsSUI報酬プールのみであることを確認した
GateNews11時間前
ライトコイン、MWEBプライバシーレイヤーのゼロデイ脆弱性悪用後に深いチェーン再編を実施
ゲート・ニュース、4月26日 — ライトコインは土曜日に深いチェーンの再編(reorganization)を経験した。これは、攻撃者がMimbleWimble Extension Block (MWEB) のプライバシーレイヤーにおけるゼロデイ脆弱性を悪用したことによるもので、ライトコイン財団によれば (April 26) のことだった。再編はブロック 3,095,930 から 3,095,943 に及び、
GateNews12時間前
