Suiチェーン上の最大手レンディングプロトコルScallopは26日、sSUIスプール報酬プールに関連するサイドコントラクトが攻撃を受け、約15万SUI(約14.3万ドル、約2,280万円)が流出したと発表した。コアプロトコルおよびユーザー預金への影響はなく、Scallopは損失の100%を自社で補填すると明言している。
廃止済みV2コントラクトが攻撃の入口に
ブロックチェーンリサーチャーのVadim氏(@zacodil)の分析によると、攻撃者が標的としたのは2023年11月に公開された廃止済みのV2スプールパッケージだった。Suiブロックチェーンではデプロイ済みのパッケージは不変(イミュータブル)であり、明示的にバージョンゲートを設けない限り、旧バージョンも呼び出し可能な状態で残り続ける。攻撃者はこの仕様を突き、現在のSDKや公式UIからはアクセスされていない古いコントラクトを直接操作した。
脆弱性の核心は、報酬トラッカーの「last_index」カウンターが未初期化のままだった点にある。攻撃者は約13.6万sSUIをステークし、報酬計算のロジック上、スプール開始時(2023年8月)からステークしていたかのように扱われることを悪用。約20ヶ月分の蓄積された報酬ポイントを一度に引き出し、約15万SUIを獲得した。盗まれた資金はSui上のミキシングサービスを経由して送金されており、回収は困難な状況だ。
約2時間で復旧、損失は100%補填へ
Scallopは日本時間26日午後9時50分(UTC 12:50)にインシデントを公表し、該当コントラクトを即座に凍結した。約2時間後の午後11時42分にはコアコントラクトの凍結を解除し、入出金を含むすべての機能が正常に復旧している。
同プロトコルは「損失の100%をScallopが補填する」と明言しており、ユーザー資産への影響はないとしている。ただし、詳細なポストモーテム(事後分析報告)はまだ公開されておらず、残存する廃止済みパッケージの包括的な監査が今後の焦点となる。
4月のDeFi被害は6億ドル超──Suiエコシステムで事案が相次ぐ
今回のScallopの被害は金額こそ限定的だが、業界の集計によると4月全体のDeFi被害総額は6億ドルを超えており、2025年2月のBybitハッキング以来最悪の月となっている。
Suiエコシステムに限っても、4月22日にはVolo Protocolが約350万ドルの被害を受けており、2025年5月のCetus DEX(2億2,300万ドル)、同年9月のNemo Protocol(240万ドル)と、サイドコントラクトや周辺機能を狙った攻撃が繰り返されている。Suiの不変パッケージ設計は安全性の面で利点がある一方、廃止済みのコントラクトが攻撃対象として残り続けるリスクも浮き彫りになった。
関連:ソラナDEXドリフトで456億円ハッキング──北朝鮮関与の可能性
関連:Kelp DAO、約466億円のrsETH流出──2026年最大のDeFiハッキング被害
関連銘柄:
SUI
![MANTRA [Old]](https://coin-images.coingecko.com/coins/images/12151/large/OM_Token.png?1696511991)
