News 暗号資産

スイプロトコルScallop、約2250万円相当が不正流出|コアは無事で全額補填へ

当サイトにはPRリンクを含む場合があります。

Sui上の主要レンディングプロトコルScallopは4月26日、sSUI spool rewards poolにひもづく廃止済みのサイドコントラクト(本体とは別の補助コントラクト)で脆弱性を突く不正利用が発生し、約15万SUIが流出したと明らかにしました。貸借や清算を担うコアコントラクトとユーザー預かり資産には被害が及ばず、同日中に運用再開と全額補填の方針まで示しました。影響は周辺機能に限られました。

Scallopは日本時間26日21時50分ごろの初動説明で、「approximately 150K SUI」が流出した一方、「core contracts remain safe」で、「only the sSUI rewards pool was impacted」と説明しました。対象コントラクトは直ちに凍結され、ほかの報酬プールは安全だとしています。あわせて「Scallop will fully cover 100% of the loss」と記し、損失をトレジャリーから全額補填すると表明しました。

Scallopはその約2時間後、日本時間23時42分ごろに復旧状況を更新し、コアコントラクトの凍結解除と全オペレーションの再開を伝えました。投稿では「The issue was not related to the core protocol and was isolated to a deprecated rewards contract. User deposits were not impacted and all funds remain safe」とし、入出金も通常どおり処理されているとしています。

影響はsSUIの報酬プールに限定

今回影響を受けたsSUI spoolは、SUI預金者向けに追加報酬を配る周辺機能です。Scallopのコアにあたるレンディング機能とは切り離されており、この分離が被害範囲を狭めました。ScallopはSuiネットワーク上の主要マネーマーケットですが、通常の預け入れ、引き出し、貸借ポジションには波及していません。

攻撃は世界時26日11時45分ごろ、日本時間20時45分ごろに発生しました。Suiのオンチェーンデータでは、new_spool_accountの作成後にupdate_points、redeem_rewardsV2、unstake、withdrawを順に呼び出す取引が確認できます。旧V2 rewards packageの欠陥を利用し、報酬計算だけを狙ったパターンです。

旧パッケージが狙われた理由として見えてきたのが、Suiのimmutable package(公開後に書き換えられないパッケージ)設計です。一度公開したパッケージは不変のまま残るため、最新版へ移行した後も古いバージョン自体は呼び出し可能です。今回の一件は、使われなくなったコードが長期間残り続ける「stale package vulnerability(古いパッケージが残ることで生じる脆弱性)」を浮かび上がらせました。

  • この記事を書いた人

gemefi.town編集部

gamefi.townは、ブロックチェーンゲームと暗号資産・Web3領域を専門に扱うメディアです。最新のトレンドや注目トピックをリアルタイムで発信しています。実際の体験や一次情報の精査をもとに分かりやすく解説。公式Xでは最新ニュースをリアルタイムで発信中です。ぜひフォローして最新情報をご確認ください。

-News, 暗号資産