スカラップ旧コントラクトから15万SUI流出

Suiネットワーク上のマネーマーケット「Scallop」は、プロトコルのsSUIスプールに紐づく廃止済みリワードコントラクトから攻撃者により約15万SUIを流出した。

チームは数分以内に被害コントラクトを凍結し、財務資金から全額補償する方針を示した。中核オペレーションは2時間以内に再開した。

Suiの周辺コードで再び不正流出、コアプロトコルに影響なし

Scallopは4月26日12時50分（UTC）、X上で本件を公表した。攻撃者はsSUIスプール向けリワードを管理するサイドコントラクトを標的とした。sSUIスプールはSUI預金者のためのインセンティブレイヤーである。

チームによれば、問題のコントラクトは直ちに凍結した。中核の貸付・借入プールは無傷。Scallop内の他マーケットの預金資産も全て安全を確保した。

2時間後、Scallopは中核コントラクトの凍結解除を確認した。出金・入金は14時42分（UTC）に再開した。

Suiネットワークの大半のユーザーには本件の影響が及ばなかった。

2023年の古いパッケージコードが攻撃の起点に

独自のオンチェーン分析によれば、V2スプールの廃止パッケージが攻撃の入口となった。Scallopはこのコードを2023年11月に公開しており、攻撃時点で17か月以上前となる。Sui上では一度デプロイされたパッケージは不変。バージョン制限を設けなければ古いバージョンも呼び出し可能となる。

バグは、ステーキング保有者の累積報酬を追跡する未初期化のlast_indexカウンターに存在した。攻撃者は約13万6000sSUIを預け入れ、この不備を悪用した。

計算上、そのポジションは2023年8月のスプール開始当初から存在していたものとして扱われた。

スプールインデックスは20か月間で約11億9000万まで成長。攻撃者は約162兆リワードポイントを獲得し、リワードプールから1対1で15万SUIを引き出した。

オンチェーンの資金流出証拠は、トランザクションハッシュ「6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL」に記録されている。

Sui DeFiで繰り返される攻撃パターン

今回の件は、ここ数週間で続発するSuiの流出事件に連なる。今月初めにはVolo Protocolが周辺コントラクトの不正流出で約350万ドル相当を失った。いずれもプロトコル本体ではなく、サイドコントラクトが狙われている。

また、先週にはイーサリアムの主要ブリッジのインシデントがあり、約2億9200万ドル分の裏付けのない再ステーキングトークンが生じた。いずれも流動性が薄く対応が遅れがちな週末に発生した。

Sui FoundationおよびMysten Labsはいずれも今件に関して公式コメントを発表していない。

一方でScallopは、損失規模が限定的であることを強調。プロトコル側は、損失全額を負担し、ユーザー配当に影響しない方針を示した。

チームはまだ全容の事後報告は公表していない。今後、残存するレガシーパッケージの完全監査結果がSui DeFi全体の対応方針に影響を与える見通し。

Sui開発者が不変コードと見過ごされた攻撃面をどう管理すべきかが、今後の課題である。