暗号資産を購入
支払い方法
USD
USD
購入 & 売却
Hot
Visa、Mastercard、SEPAなどに対応
P2P
0 Fees
柔軟な取引、手数料ゼロ
Gateカード
暗号資産を使って世界中で支払いができます
相場情報
取引
基礎
上級
先物
先物
数百の無期限先物にアクセス
TradFi
ゴールド
世界の伝統資産を一つのプラットフォームで
オプション取引
Hot
ヨーロッパ式のバニラオプションで取引できます
総合口座
資本効率の最大化
デモ取引
先物取引の紹介
先物取引の準備をする
先物イベント
イベントに参加して報酬を獲得
デモ取引
仮想資金を使ってリスクのない取引を体験しよう。
投資
ローンチパッド
CandyDrop
キャンディーを集めてAirDropを獲得
Launchpool
クイックステーキング 潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のAirDropを無料で入手
Pre-IPOs
世界中の株式IPOにフルアクセス
Alphaポイント
オンチェーン資産を取引してAirdropを獲得
先物ポイント
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
投資
Square
スクエア
暗号資産の価値を発見しよう
Live
moments live
暗号資産相場分析ライブ
チャット
暗号資産トレーダーと意見交換
ニュース
暗号資産業界の最新情報
flower_head
もっと
プロモーション
AI
その他
TradFi
WCTC S8
報酬

Scallop 廃棄 V2 コントラクトが悪用され、15万枚のSUIが盗まれた後に全額弁償を発表

MarketWhisper
プロジェクト進捗セキュリティインシデント
SUI2.5%

Scallop SUI被盜

Sui Network の分散型融資プロトコル Scallop は 4 月 26 日(日)に X プラットフォームを通じて公式発表を行い、脆弱性攻撃を受けたことを確認しました。攻撃者は sSUI spool に関連する放棄(廃棄)報酬コントラクトから約 150,000 枚の SUI を引き出しました。公式声明によると、コア資金プールおよびユーザー預金は影響を受けておらず、プロトコルは入出金を復旧しており、会社の資金で発生したすべての損失を全額補償することを確認しています。

イベントのタイムラインと Scallop 公式の回答

Scallop 公式の X プラットフォーム公告(4 月 26 日 12:50 UTC)によると、攻撃の対象は sSUI spool の付随(関連)報酬コントラクトです。このコントラクトは、SUI 預金者向けのインセンティブ層であり、コアの貸借(融資)ロジックではありません。Scallop チームは事象発生後数分以内に影響を受けたコントラクトを凍結し、コアコントラクトは 2 時間以内に凍結解除、出金および入金は 14:42 UTC に復旧しました。

Scallop 公式の声明では「Scallop は損失の 100% を全額補填(補償)します」と述べています。

脆弱性の技術分析:2023 年の放棄パッケージにおける未初期化カウンター

Scallop合約攻擊分析

(出典:Vadim)

オンチェーンの独立分析によれば、攻撃の入口は Scallop が 2023 年 11 月にデプロイした放棄 V2 spool パッケージであり、今回の攻撃が起きるまでの経過は 17 か月超です。Sui Network の技術アーキテクチャでは、デプロイ済みのパッケージは変更できません。明示的にバージョン管理が設定されていない限り、古いバージョンでも呼び出し可能です。

攻撃者は、パッケージ内に未初期化の last_index カウンターがあることを特定しました。このカウンターは、ステーキ(質押)者の累積報酬を追跡するために用いられます。攻撃者は約 136,000 枚の sSUI をステークし、システムはこのポジションを、2023 年 8 月に spool が起動して以来ずっと存在しているポジションとして扱いました。約 20 か月にわたる指数的な累積により、spool の指数は約 11.9 億にまで成長し、攻撃者は約 162 兆の報酬ポイントを獲得しました。そしてそれを 1:1 の比率で 150,000 枚の SUI に交換しました。

オンチェーンの取引記録は以下のハッシュ値で確認できます:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL

Sui DeFi における最近の脆弱性イベント記録

公開報道によれば、2026 年 4 月上旬に Sui Network 上の Volo Protocol で類似の攻撃が発生し、攻撃対象も同様に付随コントラクトでありコアのプロトコル・ロジックではなく、損失は約 350 万ドルでした。さらに攻撃が起きる 1 週間前には、イーサリアムネットワークでブリッジ(橋渡し)攻撃が発生しており、約 2.92 億ドルの無担保流動性リステーキング(再質押)トークンが盗まれました。

本報告の公開時点で、Sui Foundation と Mysten Labs のいずれも Scallop の事象について公の声明を出していません。Scallop 公式の説明によれば、プロトコルは存在するすべての現行(旧)版パッケージに対して包括的な監査を行う予定で、監査のスケジュールは未定です。

よくある質問

今回の脆弱性攻撃の発生時刻と損失規模は?

Scallop 公式の X プラットフォーム公告によると、攻撃は 2026 年 4 月 26 日(日)12:50 UTC に発生しました。攻撃者は放棄された sSUI spool の報酬コントラクトから約 150,000 枚の SUI を引き出しました。コア融資資金プールおよびユーザーの他の市場における預金は影響を受けていません。

Scallop は今回の攻撃に対してどのような公式の約束をした?

Scallop 公式の声明によると、プロトコルは攻撃の後数分以内に影響を受けたコントラクトを凍結し、14:42 UTC において(公告公開から約 2 時間後)全ての操作機能を復旧しました。Scallop は、会社資金で全損失を全額補償し、ユーザーの収益には影響がなく、存在するすべての現存する旧版パッケージに対して包括的な監査を行う計画であることを確認しています。

今回の脆弱性の根本的な技術原因は何であり、Sui Network の技術アーキテクチャとどのように関連している?

オンチェーンの独立分析によれば、脆弱性の原因は 2023 年 11 月にデプロイされた放棄 V2 spool パッケージ内の未初期化 last_index カウンターにあります。Sui Network では、デプロイ済みのパッケージは変更できません。バージョン管理が明示的に設定されていない限り、旧バージョンでも呼び出し可能です。これにより、攻撃者は 17 か月以上前に放棄されたコードから 150,000 枚の SUI を抽出することができました。

免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

関連記事

Aave Labs が Arbitrum に提案:解凍 30765 ETH で被害者を補償

ethereum newsプロジェクト進捗

Aave Labsが4月25日にArbitrumのガバナンスフォーラムで公開した提案に基づき、Aave Labsは、Arbitrumの分散型自律組織(DAO)に対し、Kelp DAO攻撃に関連する30,765 ETHの凍結を解除し、上記資金を「DeFi United」復興基金に拠出して、rsETHのサポートを復旧し、保有者を補償することを求めています。

MarketWhisper1時間前

ウエスタン・ユニオン、5月にUSDPTステーブルコインをローンチへ デジタル・アセット・ネットワークとステーブルカードを導入

プロジェクト進捗パートナーシップ・エコシステム

Gateニュースメッセージ、4月27日――ウエスタン・ユニオンは4月24日の第1四半期決算説明会で、ソラナをベースにしたステーブルコイン「USDPT」が最終準備段階にあり、来月にもローンチ予定だと発表した。CEO兼社長のデヴィン・マクグラナハン氏は次のように述べた: "西部の「ウエスタン・ユニオン」がデジタル資産で活動するかどうかはもはや問題ではなく、どれだけ速く拡大できるかが問題だ。私たちの戦略の基盤にあるのは、米ドル担保のステーブルコインであるUSDPTだ。"

GateNews1時間前

Jupiter LendがJLP/JupUSDの借入上限を$40 百万ドルまで引き上げ

プロジェクト進捗

Gate Newsのメッセージ、4月27日 — Jupiter Lendは、JLP/JupUSDの借入上限を$25 百万ドルから$40 百万ドルに引き上げました。ユーザーは現在、最大85%のLTVまで借り入れることができ、またJLPで再帰的な操作を実行することもできます。 プロトコルはソーシャルメディアを通じてこの調整を発表しました

GateNews1時間前

Polymarket が 4 月 28 日にアップグレードを発表:担保資産を pUSD に移行、取引は約 1 時間停止

予測市場プロジェクト進捗

Polymarket 開発者が4月27日にXプラットフォーム上で発表した公式告知によると、Polymarketは4月28日UTC 11:00にプラットフォーム全面的な基盤インフラのアップグレードを開始し、取引は約1時間停止されます。このアップグレードには、新世代の取引コントラクト、注文簿の再構築、および新しい担保トークン pUSD の導入が含まれます。プラットフォームの既存の担保資産は、USDC.e から pUSD に移行します。

MarketWhisper1時間前

Polymarketは4月28日にプラットフォームをアップグレード、担保をUSDC.eからpUSDへ移行

予測市場プロジェクト進捗

Gate News メッセージ、4月27日 — Polymarketは2026年4月28日、協定世界時 19:00ごろにプラットフォームをアップグレードすると発表しました。メンテナンス期間中は約1時間、取引が停止されます。このアップグレードには、新世代の取引コントラクト (CTF Exchange V2)、再構築された注文板

GateNews3時間前

Curve、$700K Bad Debt(CRV-long LlamaLend市場)に対する市場ベースの回復計画を提案

プロジェクト進捗

Gate Newsメッセージ、4月27日 — Curveチームは、2025年10月10日に発生したCRV-long LlamaLend市場の約$700,000の不良債権に対処するため、4月27日にガバナンス提案を公開した。提案された回復メカニズムは、CRV-longバルト資産のオプショナリティを活用する:CRVの価格が上昇するとバルトの価値は増えるが、価格が下落しても追加の損失は被らない。

GateNews3時間前
コメント
0/400
コメントなし