ゲートニュース記事、4月26日 — Suiブロックチェーン上の貸付プラットフォームであるScallop Protocolは、sSUI報酬プールに関連する廃止済みのサイドコントラクトを狙ったフラッシュローンの悪用を受け、約$142,000 (150,000 SUI)の損失が発生しました。この攻撃では、オラクルの価格フィードの操作を悪用してSUI/USDCの取引レートを不当に下落させ、歪められた価格で資産を借り入れました。その後、攻撃者は同一トランザクション内でフラッシュローンを返済し、差額を懐に入れました。
問題の核心は、2023年11月にデプロイされた非推奨(廃止済み)のV2コントラクトに起因していました。これにより、新規アカウントが作成された際に、重要な変数である"last_index"が初期化されない状態のまま、オンチェーンで呼び出し可能でした。この欠陥により、攻撃者はプールの開始時からステーキングしていたかのように報酬を請求できました。報酬インデックスは20か月で11.9億まで成長しており、攻撃者は136,000 sSUIをステークしましたが、162兆ポイントのクレジットを受け取りました。報酬プールは1:1の交換レートで運用されていたため、これらのポイントはそのまま162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、資金はすべて引き出されました。オンチェーンデータによれば、盗まれた資金はすぐにミキシングサービスを通してルーティングされており、回収を困難にしていました。
Scallopのチームは対応として、まず一時的に運用を停止し、その後コアコントラクトの凍結を解除して全オペレーションを再開しました。プロトコルは、悪用が廃止済みの報酬コントラクトにのみ限定されており、コアプロトコルやユーザーの預け入れには影響していないこと、そして全資金が安全なままであることを確認しました。その後、攻撃者はチームに連絡し、ホワイトハットの懸賞金と引き換えに盗まれた資金の80%を返す用意があると申し出ました。現在、このインシデントは調査中です。チームは、OtherSecやMoveBitを含む複数の企業による過去の監査で、この欠陥がどのようにして検出を逃れたのかを見直します。
SUI価格は悪用後も堅調で、攻撃から24時間で約2%上昇し、$187 百万程度の1日取引高で$0.94で取引されています。このインシデントは、より広い4月2026年の傾向を反映しており、大規模なDeFiの悪用がコアプロトコルのロジックではなく、廃止済みのコントラクトやインフラ層を狙う形になっています。月内の12の主要インシデントで累積損失は$600 百万を超えています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
北朝鮮によるテロ攻撃の判決保有者をめぐる昇格争奪で、7,100万ドル相当のAave凍結資産:対テロ保険法を根拠に
北韓の攻撃計画が加速し、7,100万ドル相当のAave凍結資産が第3ラウンドに入った。原告は、TRIA法を用いてETHは北韓の国家財産であると主張し、盗難ではなく詐欺であることを強調することで、「犯人は贓物を所有していない」という抗弁を突破しようとしている。同時にAaveのstandingとガバナンス上の立場に異議を唱える。DeFi Unitedは資金調達で3億2,800万ドル超を集めており、資金は影響を受けたユーザーへの補償に十分である。案件は、DeFiの法理とDAOガバナンスにとっての重要な先例となる可能性がある。
ChainNewsAbmedia1時間前
暗号「クジラ」がCoinbaseを提訴、盗難されたDAIを凍結した後に返還を拒否したとして訴え
The Block によると 5月6日の報道では、匿名の暗号資産“大口投資家”で、化名「DB」で起訴された人物が、月曜日に Coinbase と、告発されている窃盗犯「John Doe」を相手取り訴訟を提起した。訴訟では、Coinbase が宣誓供述書によって自らが正当な所有者であることを示したにもかかわらず、2024年の暗号資産盗難事件に関連する凍結 DAI 資金の返還を拒んだと主張している。
MarketWhisper2時間前
北朝鮮のテロ被害者が、Aaveのハックから$71M を差し押さえる申し立てを行い、詐欺として組み替える
北朝鮮による3件のテロ事件の被害者の弁護人は、火曜日に30ページの答弁書を提出し、4月18日のAaveハックを窃盗ではなく詐欺として言い換えた。この区別には法的な重要性がある。事件を詐欺として特徴づければ、攻撃者が借りた資産について法的な権利を得る可能性がある
GateNews3時間前
Kelp DAOは、2億9200万ドルのブリッジ悪用を受けて、LayerZeroをやめてChainlinkのCCIPに乗り換える
The Blockによると、Kelp DAOは先月の292百万ドル規模のブリッジ脆弱性(エクスプロイト)を受けて、LayerZeroではなくChainlinkのクロスチェーン相互運用プロトコル(CCIP)へ移行し、LayerZeroを見捨てた。Chainlinkの担当者は、攻撃以降、Kelp DAOがLayerZeroから移行する最初の主要プロトコルであることを確認した。On
GateNews3時間前
LayerZeroの共同創業者がKelpDAOの申し立てを否定し、2024年4月1日の手動設定変更を挙げる
Bryan Pellegrinoによれば、LayerZero Labsの共同創業者兼CEOである彼は、KelpDAOに対するほとんどの申し立ては根拠がないものだと述べています。5月6日、Pellegrinoは、Kelpは当初デフォルトのMultiDVNまたはDeadDVNの構成を使用していたが、2024年4月1日に手動で1/1の構成に変更したと、オンチェーンによれば語りました
GateNews3時間前
