ゲートニュース記事、4月26日 — Suiブロックチェーン上の貸付プラットフォームであるScallop Protocolは、sSUI報酬プールに関連する廃止済みのサイドコントラクトを狙ったフラッシュローンの悪用を受け、約$142,000 (150,000 SUI)の損失が発生しました。この攻撃では、オラクルの価格フィードの操作を悪用してSUI/USDCの取引レートを不当に下落させ、歪められた価格で資産を借り入れました。その後、攻撃者は同一トランザクション内でフラッシュローンを返済し、差額を懐に入れました。
問題の核心は、2023年11月にデプロイされた非推奨(廃止済み)のV2コントラクトに起因していました。これにより、新規アカウントが作成された際に、重要な変数である"last_index"が初期化されない状態のまま、オンチェーンで呼び出し可能でした。この欠陥により、攻撃者はプールの開始時からステーキングしていたかのように報酬を請求できました。報酬インデックスは20か月で11.9億まで成長しており、攻撃者は136,000 sSUIをステークしましたが、162兆ポイントのクレジットを受け取りました。報酬プールは1:1の交換レートで運用されていたため、これらのポイントはそのまま162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、資金はすべて引き出されました。オンチェーンデータによれば、盗まれた資金はすぐにミキシングサービスを通してルーティングされており、回収を困難にしていました。
Scallopのチームは対応として、まず一時的に運用を停止し、その後コアコントラクトの凍結を解除して全オペレーションを再開しました。プロトコルは、悪用が廃止済みの報酬コントラクトにのみ限定されており、コアプロトコルやユーザーの預け入れには影響していないこと、そして全資金が安全なままであることを確認しました。その後、攻撃者はチームに連絡し、ホワイトハットの懸賞金と引き換えに盗まれた資金の80%を返す用意があると申し出ました。現在、このインシデントは調査中です。チームは、OtherSecやMoveBitを含む複数の企業による過去の監査で、この欠陥がどのようにして検出を逃れたのかを見直します。
SUI価格は悪用後も堅調で、攻撃から24時間で約2%上昇し、$187 百万程度の1日取引高で$0.94で取引されています。このインシデントは、より広い4月2026年の傾向を反映しており、大規模なDeFiの悪用がコアプロトコルのロジックではなく、廃止済みのコントラクトやインフラ層を狙う形になっています。月内の12の主要インシデントで累積損失は$600 百万を超えています。
