スイのレンディング「Scallop」でインシデント発生、約15万SUIが不正流出

旧コントラクト経由で報酬プールが不正利用

レイヤー1ブロックチェーン「スイ(Sui)」上のレンディングプロトコル「スキャロップ(Scallop)」で、報酬プールに関連するコントラクトを対象としたエクスプロイトが発生した。同プロトコルの公式Xで4月26日に発表された。これにより約15万SUIが流出したという。

発表によると、今回のインシデントは「sSUI」の報酬プールに関連するサイドコントラクトで発生したもので、コアコントラクトには影響はなく、被害は当該プールのみに限定されたという。また、影響を受けたコントラクトは一時凍結された後、現在は解除され入出金を含むすべての機能が通常通り稼働していると説明している。

スキャロップチームは、今回の損失については100%補填する方針を示している。ユーザーの預入資産についても影響はなく、資金は安全に保たれているとしている。

同チームは現在も詳細な調査を進めており、今後追加情報を公開するとしている。

また今回の事案について、元ニア(NEAR)コア開発者でオンチェーン分析を行うヴァディム(Vadim)氏は、自身のXアカウントで分析を公開している。同氏によると、攻撃は現在使用されているコードではなく、すでに非推奨となっていた旧バージョンのコントラクトを経由して実行された可能性があるという。

同氏は、報酬計算に用いられる「インデックス」の初期化処理に不備があった点を指摘している。本来はユーザー参加以降の報酬のみが付与される設計であるが、旧コントラクトでは初期値が設定されておらず、過去分の報酬が一括で計算される状態になっていたと説明している。

また同氏は、旧コントラクトが非推奨となった後もブロックチェーン上に残り続けていた点を問題として挙げている。スイでは過去に公開されたパッケージが削除されず呼び出し可能な状態で残るため、攻撃者が旧コードを直接実行した可能性があるとみられている。

同氏はこうした「古いパッケージ(stale package)」が攻撃経路となり得る点を指摘し、過去に公開されたコントラクトも含めて監査対象とする必要があるとの見方を示している。

なお、スイエコシステムでは直近でも同様にセキュリティインシデントが報告されている。リキッドステーキングプロトコルのボロプロトコル(Volo Protocol)では、4月22日に不正流出が発生し、約350万ドル(約5億5,771万円)相当の資産が流出したと報告されている。

同プロトコルによると、被害はWBTC、XAUm、USDCを扱う3つのボールトに限定されている。その他のボールトや約2,800万ドル(約44.6億円)のTVLには影響はないとされている。インシデント発覚後、同チームはボールトを凍結し、現在はすべてのボールトを閉鎖しているという。損失については補填される方針が示されている。

このインシデントを受け、ボロプロトコルが統合されているスイ上のレンディングプロトコルであるナビプロトコル(NAVI Protocol)は、予防措置としてコントラクトの一時停止を実施した。その後、ナビプロトコルにおいては脆弱性はなく、ユーザー資産にも影響はないことが確認されている。

画像:PIXTA

関連ニュース

参照元:ニュース – あたらしい経済

コメント

タイトルとURLをコピーしました