最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- Scallop Protocolは、オラクル操作攻撃と組み合わさったフラッシュローンにより、14万2000ドルを失った。.
- この脆弱性は、初期化されていない変数を悪用し、攻撃者が過大な報酬を得ることを可能にした。.
- 攻撃者は報酬として80%を返還すると申し出た。これは、忘れ去られたり、旧式の DeFi コードに起因するリスクが高まっていることを示している。.
Scallop Protocolは日曜日にフラッシュローン攻撃を受けました。攻撃者は、高度に標的を絞ったオラクル操作攻撃と思われるもので、約14万2000ドル(15万SUI)を不正に引き出したと報じられています。今回の攻撃はプロトコルのコアtracには影響を与えませんでしたが、より深刻な設計上の欠陥を露呈しました。.
攻撃者が、ScallopのsSUI報酬プールに関連付けられた廃止されたサイドtracを悪用したと報じられています。Scallopチームは、コアプロトコルは無傷であり、すべてのユーザー預金は安全であると強調しています。ただし、損失は当該の隔離された部分のみに限定されています。.
古いコードか、それともOracleの欠陥か?
アナリストらは、問題の核心はScallopのカスタムオラクル価格フィードの操作にあると指摘している。これにより、攻撃者はSUI/USDCレートを人為的に引き下げ、その歪んだ価格で資産を借り入れることができた。そして、 フラッシュローン 。最終的に、容疑者はその差額を手に入れた。
これはよくある DeFi 攻撃パターンに倣ったものですが、今回の攻撃の実行は異例なほど精密でした。攻撃者はアクティブなコードや標準SDKルートを標的にせず、2023年11月の古いV2tracを操作しました。これは放置されていたものの、オンチェーンで呼び出し可能な状態だったバージョンです。Suiはデプロイされたすべてのtracバージョンを不変かつアクセス可能な状態に保っています。そのため、この古いパッケージが隠れた攻撃対象となってしまったのです。.
Suiの株価は 、今回の不正アクセス後も下落しておらず、過去24時間で約2%上昇している。記事執筆時点でのSuiの株価は0.94ドル。過去24時間の取引高は約1億8700万ドルとなっている。
ある専門家は 投稿 、この脆弱性自体は些細なものだが深刻だと指摘した。廃止されたコントラクトではtrac新しいアカウントが作成された際に重要な変数「last_index」が初期化されていなかった。これにより、攻撃者はプールの開始当初からステーキングを行っていたかのように報酬を受け取ることができた。
報酬指数が時間とともに上昇したため、攻撃者は単一の取引で報酬プール全体を自分のものにした。彼は、スプール指数が20か月で11億9000万にまで上昇したと述べた。.
攻撃者は136,000 sSUIをステーキングし、162兆ポイントを獲得しました。しかし、報酬プールは1対1の交換レート(分子と分母が両方とも1)で運用されていたため、162兆ポイントは直接162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、そのすべてが枯渇してしまいました。.
オンチェーンデータによると、盗まれた資金はSuiのTornado Cash と同様のミキシングサービスを経由して迅速に送金されたことが分かっています。これにより、資金の回収はさらに困難になっています。.
ハッキング被害後、Scallopがオンラインに復帰
Scallopのチームは、一時的に運用を停止することで対応しました。その後、コアtracの凍結を解除し、すべての運用を再開したと報告しました。Xの投稿では、この問題はコアプロトコルとは関係なく、廃止された報酬tracに限定されていたことが強調されました。最終的に、ユーザーの預金は影響を受けず、すべての資金は安全です。出金と入金は現在正常に機能しています。.
🚨 ScallopがSuiのフラッシュローンエクスプロイト攻撃を受け、オラクル操作攻撃で14万2000ドルを失う
詳細はこちら👇
どうしたの?
2026年4月26日、Scallopレンディングプロトコルにおいて、sSUIスプール報酬プールに関連する廃止されたサイドtracを標的としたフラッシュローン攻撃が発生した。
— ソフィア・ホドルバーグ (@sophiaHodlberg) 2026年4月26日
攻撃者はチームに連絡を取り、ホワイトハット報酬と引き換えに資金の80%を返還すると申し出たと報じられている。現在、このdent は調査中である。チームは、この脆弱性がOtterSecやMoveBitなどの企業による過去の監査をどのように通過したのかを確認する予定だ。.
Cryptopolitan 報告による と、2026年4月に発生した主要なインシデントの多くは、dentプロトコルロジックから発生したものではない。それらは、アクセス可能でありながら見落とされていた古いコントラクト、アダプタ、またはインフラストラクチャレイヤーから発生したtracで6億ドル以上の資金が盗まれたdent。
Kelp DAOとDrift Protocolは合わせて、4月の損失の約95%を占めています。Kelpへの攻撃により、 Aaveでは1億7700万ドルの不良債権が発生しました。一方、Arbitrumのセキュリティ評議会は、盗まれた資金のうち30,766 ETH(約7100万ドル相当)の凍結に成功しました。.
Hyperliquidは依然として DeFi 分野で最大のトークンです。HYPEの価格は過去30日間で10%上昇し、記事執筆時点では41.95ドルで取引されています。Chainlink Chainlink 2位につけており、LINKは9.4ドル前後で取引されています。.
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
アシシュ・クマール
アシシュ・クマールは、8年間の報道経験を持つ仮想通貨および金融ジャーナリストです。仮想通貨市場、規制、 DeFi、取引所エコシステムに関する最新情報を取材しています。Coingape、Todayq、Newsroompostなどで勤務経験があります。IIMCで英語ジャーナリズムのPGDP(大学院ディプロマ)を取得しています。また、アーサー・ヘイズ、ヤット・シウ、オースティン・フェデラなど、業界の著名人へのインタビューも行っています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)