Sui Network の分散型融資プロトコル Scallop は 4 月 26 日(日)に X プラットフォームを通じて公式発表を行い、脆弱性攻撃を受けたことを確認しました。攻撃者は sSUI spool に関連する放棄(廃棄)報酬コントラクトから約 150,000 枚の SUI を引き出しました。公式声明によると、コア資金プールおよびユーザー預金は影響を受けておらず、プロトコルは入出金を復旧しており、会社の資金で発生したすべての損失を全額補償することを確認しています。
イベントのタイムラインと Scallop 公式の回答
Scallop 公式の X プラットフォーム公告(4 月 26 日 12:50 UTC)によると、攻撃の対象は sSUI spool の付随(関連)報酬コントラクトです。このコントラクトは、SUI 預金者向けのインセンティブ層であり、コアの貸借(融資)ロジックではありません。Scallop チームは事象発生後数分以内に影響を受けたコントラクトを凍結し、コアコントラクトは 2 時間以内に凍結解除、出金および入金は 14:42 UTC に復旧しました。
Scallop 公式の声明では「Scallop は損失の 100% を全額補填(補償)します」と述べています。
脆弱性の技術分析:2023 年の放棄パッケージにおける未初期化カウンター
(出典:Vadim)
オンチェーンの独立分析によれば、攻撃の入口は Scallop が 2023 年 11 月にデプロイした放棄 V2 spool パッケージであり、今回の攻撃が起きるまでの経過は 17 か月超です。Sui Network の技術アーキテクチャでは、デプロイ済みのパッケージは変更できません。明示的にバージョン管理が設定されていない限り、古いバージョンでも呼び出し可能です。
攻撃者は、パッケージ内に未初期化の last_index カウンターがあることを特定しました。このカウンターは、ステーキ(質押)者の累積報酬を追跡するために用いられます。攻撃者は約 136,000 枚の sSUI をステークし、システムはこのポジションを、2023 年 8 月に spool が起動して以来ずっと存在しているポジションとして扱いました。約 20 か月にわたる指数的な累積により、spool の指数は約 11.9 億にまで成長し、攻撃者は約 162 兆の報酬ポイントを獲得しました。そしてそれを 1:1 の比率で 150,000 枚の SUI に交換しました。
オンチェーンの取引記録は以下のハッシュ値で確認できます:6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL
Sui DeFi における最近の脆弱性イベント記録
公開報道によれば、2026 年 4 月上旬に Sui Network 上の Volo Protocol で類似の攻撃が発生し、攻撃対象も同様に付随コントラクトでありコアのプロトコル・ロジックではなく、損失は約 350 万ドルでした。さらに攻撃が起きる 1 週間前には、イーサリアムネットワークでブリッジ(橋渡し)攻撃が発生しており、約 2.92 億ドルの無担保流動性リステーキング(再質押)トークンが盗まれました。
本報告の公開時点で、Sui Foundation と Mysten Labs のいずれも Scallop の事象について公の声明を出していません。Scallop 公式の説明によれば、プロトコルは存在するすべての現行(旧)版パッケージに対して包括的な監査を行う予定で、監査のスケジュールは未定です。
よくある質問
今回の脆弱性攻撃の発生時刻と損失規模は?
Scallop 公式の X プラットフォーム公告によると、攻撃は 2026 年 4 月 26 日(日)12:50 UTC に発生しました。攻撃者は放棄された sSUI spool の報酬コントラクトから約 150,000 枚の SUI を引き出しました。コア融資資金プールおよびユーザーの他の市場における預金は影響を受けていません。
Scallop は今回の攻撃に対してどのような公式の約束をした?
Scallop 公式の声明によると、プロトコルは攻撃の後数分以内に影響を受けたコントラクトを凍結し、14:42 UTC において(公告公開から約 2 時間後)全ての操作機能を復旧しました。Scallop は、会社資金で全損失を全額補償し、ユーザーの収益には影響がなく、存在するすべての現存する旧版パッケージに対して包括的な監査を行う計画であることを確認しています。
今回の脆弱性の根本的な技術原因は何であり、Sui Network の技術アーキテクチャとどのように関連している?
オンチェーンの独立分析によれば、脆弱性の原因は 2023 年 11 月にデプロイされた放棄 V2 spool パッケージ内の未初期化 last_index カウンターにあります。Sui Network では、デプロイ済みのパッケージは変更できません。バージョン管理が明示的に設定されていない限り、旧バージョンでも呼び出し可能です。これにより、攻撃者は 17 か月以上前に放棄されたコードから 150,000 枚の SUI を抽出することができました。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
DeFi United が調達額を10.2万枚のETHまで突破、AAVEが100ドルまで反発
DeFi United公式ページによると、Aaveのサービスプロバイダーが主導して立ち上げたマルチプロトコルの救済基金DeFi Unitedは、4月27日時点で10.2万枚を超えるETHを調達しており、4月18日のKelp DAOクロスチェーンブリッジ攻撃事件後にAave V3市場で生じた不良債権の不足分を補填することを目的としています。AAVEは一時的に100ドルを突破した後、値を下げました。
MarketWhisper11分前
VcitychainのDPoSメインネットが稼働開始、自社開発のコンセンサスシステムを採用
Gate News メッセージ、4月27日 — 商用グレードのブロックチェーンであるVcitychainは本日、(DPoS)コンセンサスシステムに移行し、独自開発の委任型プルーフ・オブ・ステーク(Delegated Proof of Stake)を採用したDPoSメインネットを正式にローンチしました。
このアップグレードは、ネットワークのパフォーマンスを強化し、分散化を高め、オンチェーンガバナンスの透明性を向上させることを目的としています。
GateNews19分前
Blackbeard's Bountyシーズン3の完了によりApeCoinがゲーム運営権限をコミュニティへ移管
ゲートニュース・メッセージ、4月27日――ApeCoinは、Blackbeard's Bountyのクエスト・シーズンが正式に終了したと発表しました。ただし、ユーザーがバウンティ・タスクを作成し完了させる能力は引き続き有効です。シーズンの終了に伴い、ゲームの運営権限はコミュニティへ移管され、今後の開発方針はプレイヤーによって決定される予定です。プロジェクトは、生態系の構築やコンテンツ制作への継続的な参加を促しています。
APEトークンは最近ボラティリティが上昇しており、過去7日間で49.66%上昇し、$0.1508で取引されています。現在の流通供給量は752.65百万APEで、市場 capitalizationは$114.22百万です。過去24時間で、APEのパーペチュアル契約の取引出来高はおよそ$204.68百万に達し、建玉(オープン・インタレスト)は約$64.12百万で、進行中の市場レバレッジ調整を反映しています。
GateNews20分前
マルチシナリオ・スキルマトリクスを備えたFLOAエコシステムがFloaClaw AIスイートをローンチ
ゲートニュース(4月27日)— FLOAエコシステムは、コアAIツールキットであるFloaClawを正式にローンチし、多シナリオのAIスキルマトリクスを特徴としています。FloaClawの機能へのアクセスは、レベル3以上のAgentユーザーに限定されます。
FloaClawはトークンベースのシステムで動作し、ユーザーはBNB担保の計算パワートークンを購入して、[AIスキル]https://www.gate.com/zh/skills-hub,を消費します。消費はタスクの複雑さに応じてスケールします。プラットフォームは、新しいAIスキルやツールモジュールを継続的に拡充していく計画です。FLOAはまた、クリエイターの収益分配システムを導入し、Agentのクリエイターがユーザーによるスキル消費から計算パワートークンの一部を得られるようにします。さらに、ワンクリックでのBNB出金に対応し、持続可能なクリエイター経済の構築を目指します。
FLOAは、BNB Chain上に構築されたインテリジェントなWeb3 Agentエコシステムプラットフォームで、データ分析とオンチェーン自動化の能力を統合し、ユーザーを後押ししてエコシステムの成長を促進することを目的としたオープンなインセンティブメカニズムを備えています。
GateNews20分前
Aave Labs が Arbitrum に提案:解凍 30765 ETH で被害者を補償
Aave Labsが4月25日にArbitrumのガバナンスフォーラムで公開した提案に基づき、Aave Labsは、Arbitrumの分散型自律組織(DAO)に対し、Kelp DAO攻撃に関連する30,765 ETHの凍結を解除し、上記資金を「DeFi United」復興基金に拠出して、rsETHのサポートを復旧し、保有者を補償することを求めています。
MarketWhisper1時間前
ウエスタン・ユニオン、5月にUSDPTステーブルコインをローンチへ デジタル・アセット・ネットワークとステーブルカードを導入
Gateニュースメッセージ、4月27日――ウエスタン・ユニオンは4月24日の第1四半期決算説明会で、ソラナをベースにしたステーブルコイン「USDPT」が最終準備段階にあり、来月にもローンチ予定だと発表した。CEO兼社長のデヴィン・マクグラナハン氏は次のように述べた: "西部の「ウエスタン・ユニオン」がデジタル資産で活動するかどうかはもはや問題ではなく、どれだけ速く拡大できるかが問題だ。私たちの戦略の基盤にあるのは、米ドル担保のステーブルコインであるUSDPTだ。"
GateNews1時間前
