Scallop Protocolは日曜日にフラッシュローン攻撃を受けました。攻撃者は、高度に標的を絞ったオラクル操作攻撃と思われるもので、約14万2000ドル(15万SUI)を不正に引き出したと報じられています。今回の攻撃はプロトコルのコアtracには影響を与えませんでしたが、より深刻な設計上の欠陥を露呈しました。.
攻撃者が、ScallopのsSUI報酬プールに関連付けられた廃止されたサイドtracを悪用したと報じられています。Scallopチームは、コアプロトコルは無傷であり、すべてのユーザー預金は安全であると強調しています。ただし、損失は当該の隔離された部分のみに限定されています。.
古いコードか、それともOracleの欠陥か?
アナリストらは、問題の核心はScallopのカスタムオラクル価格フィードの操作にあると指摘している。これにより、攻撃者はSUI/USDCレートを人為的に引き下げ、その歪んだ価格で資産を借り入れることができた。そして、フラッシュローン。最終的に、容疑者はその差額を手に入れた。
これはよくある DeFi 攻撃パターンに倣ったものですが、今回の攻撃の実行は異例なほど精密でした。攻撃者はアクティブなコードや標準SDKルートを標的にせず、2023年11月の古いV2tracを操作しました。これは放置されていたものの、オンチェーンで呼び出し可能な状態だったバージョンです。Suiはデプロイされたすべてのtracバージョンを不変かつアクセス可能な状態に保っています。そのため、この古いパッケージが隠れた攻撃対象となってしまったのです。.
Suiの株価は、今回の不正アクセス後も下落しておらず、過去24時間で約2%上昇している。記事執筆時点でのSuiの株価は0.94ドル。過去24時間の取引高は約1億8700万ドルとなっている。
ある専門家は投稿、この脆弱性自体は些細なものだが深刻だと指摘した。廃止されたコントラクトではtrac新しいアカウントが作成された際に重要な変数「last_index」が初期化されていなかった。これにより、攻撃者はプールの開始当初からステーキングを行っていたかのように報酬を受け取ることができた。
報酬指数が時間とともに上昇したため、攻撃者は単一の取引で報酬プール全体を自分のものにした。彼は、スプール指数が20か月で11億9000万にまで上昇したと述べた。.
攻撃者は136,000 sSUIをステーキングし、162兆ポイントを獲得しました。しかし、報酬プールは1対1の交換レート(分子と分母が両方とも1)で運用されていたため、162兆ポイントは直接162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、そのすべてが枯渇してしまいました。.
オンチェーンデータによると、盗まれた資金はSuiのTornado Cash と同様のミキシングサービスを経由して迅速に送金されたことが分かっています。これにより、資金の回収はさらに困難になっています。.
ハッキング被害後、Scallopがオンラインに復帰
Scallopのチームは、一時的に運用を停止することで対応しました。その後、コアtracの凍結を解除し、すべての運用を再開したと報告しました。Xの投稿では、この問題はコアプロトコルとは関係なく、廃止された報酬tracに限定されていたことが強調されました。最終的に、ユーザーの預金は影響を受けず、すべての資金は安全です。出金と入金は現在正常に機能しています。.
🚨 ScallopがSuiのフラッシュローンエクスプロイト攻撃を受け、オラクル操作攻撃で14万2000ドルを失う
詳細はこちら👇
どうしたの?
2026年4月26日、Scallopレンディングプロトコルにおいて、sSUIスプール報酬プールに関連する廃止されたサイドtracを標的としたフラッシュローン攻撃が発生した。
— ソフィア・ホドルバーグ (@sophiaHodlberg) 2026年4月26日
攻撃者はチームに連絡を取り、ホワイトハット報酬と引き換えに資金の80%を返還すると申し出たと報じられている。現在、このdent は調査中である。チームは、この脆弱性がOtterSecやMoveBitなどの企業による過去の監査をどのように通過したのかを確認する予定だ。.
Cryptopolitan 2026年4月の主要なインシデントの多くは、dentプロトコルロジックから発生したものではない報告されていますtracdentで6億ドル以上の資金が盗まれました。
Kelp DAOとDrift Protocolは合わせて、4月の損失の約95%を占めています。Kelpへの攻撃により、 Aaveでは1億7700万ドルの不良債権が発生しました。一方、Arbitrumのセキュリティ評議会は、盗まれた資金のうち30,766 ETH(約7100万ドル相当)の凍結に成功しました。.
Hyperliquidは依然として DeFi 分野で最大のトークンです。HYPEの価格は過去30日間で10%上昇し、記事執筆時点では41.95ドルで取引されています。Chainlink Chainlink 2位につけており、LINKは9.4ドル前後で取引されています。.
