SyFu、EVT報酬プールに不正アクセス 110,573 EVT流出
SyFuは2026年2月23日、「EVT(Excavation Token)」の報酬用プールコントラクトに不正アクセスが発生し、110,573 EVT(約1500万円相当)が外部アドレスへ移転されたと公表しました。
対象となったのは、BNB Smart Chain(BSC)上で稼働している報酬配布用のスマートコントラクトです。
運営の説明によると、最初の不正な操作が行われたのは2月4日でした。この時点で攻撃者はプロキシコントラクトの制御権を取得していたといいます。
そして約2週間後の2月21日、実際にEVTの移転が実行されました。オンチェーンのトランザクション履歴から、110,573 EVTが報酬プールから外部アドレスへ送られた事実が確認されています。
原因はプロキシ公開と初期化分離を悪用、29ウォレットのApprovalも被害
原因について運営は、コントラクトのロジック自体に欠陥があったわけではないとしています。
問題は、アップグレード可能なプロキシコントラクトのデプロイと初期化の手順にありました。
プロキシ公開と初期化を別々のトランザクションで行っていたため、そのわずかな隙を突かれた形です。初期化前のプロキシに対し第三者が先に初期化処理を行い、管理権限を取得。
その後、実装アドレスを差し替えることで、報酬プール内のEVTを移転できる状態にしたと説明しています。
あわせて、29のSpendingウォレットでもトークンのApprovalが悪用されたことが確認されました。
これらはERC-4337ベースのスマートアカウントです。
運営は、秘密鍵やログイン情報が漏洩した事実はないと明記しています。
あくまで付与されていたトークン使用権限が不正に利用された事案だとしています。
再発防止へ初期化手順を見直し 段階的にアプリ再開へ
再発防止策としては、コントラクト公開と同時に初期化を完了させる方式へ改める方針です。
管理権限の多重保護や権限分離の強化、内部監査プロセスの見直しも行うとしています。精算方式についても改善を進めると説明しています。
アプリの再開は段階的に進められます。まずは入出金機能を制限した状態でアプリ本体を再稼働させ、安全性を確認したうえでEVTの入出金を順次再開する計画です。
運営は、ユーザー残高が減少しないよう対応を行うとしています。
仮想通貨業界では、スマートコントラクトやブリッジ、権限管理の不備を突いたハッキング事例がこれまでも繰り返されてきました。
コードそのものの重大なバグだけでなく、今回のように「手順」や「運用上の隙」を突かれるケースも少なくありません。
プロキシの初期化という一瞬のタイミングを突いた今回の手口は、その象徴とも言えるものです。システムが高度化するほど、攻撃もまた表面的な脆弱性ではなく、工程や権限設計の細部に目を向けるようになります。
参照:公式
