**Scallopは日曜日にフラッシュローン攻撃を受け、旧式の報酬コントラクトから約142,000ドルが流出しました。これは、そのsSUIプールにリンクされたものです。**内容非推奨コントラクトが隠れたリスクを露呈オラクル操作がフラッシュローン戦略をサポートScallopはレビュー後に運用を再開この事件は、約15万SUIに関与し、オラクル操作と未初期化の報酬変数に依存していたようです。Scallopは、そのコアプロトコルは安全を保ち、ユーザーの預金も安全であり、損失は孤立したコントラクトに限定されたと述べています。## 非推奨コントラクトが隠れたリスクを露呈Scallopの攻撃は、メインの貸付システムや現在のプロトコルコードをターゲットにしていませんでした。代わりに、2023年11月の古いV2コントラクトとやり取りし続けていたもので、非推奨にもかかわらずオンチェーンで呼び出し可能な状態でした。Suiの不変パッケージ設計により、展開されたコントラクトのバージョンはアクセス可能なままであり、放置されたコードが見落とされた攻撃面となったのです。セキュリティアナリストは、そのコントラクトに微妙だが深刻な欠陥があったと指摘しました。報酬プールに新しいアカウントが追加されるとき、last\_indexという変数が初期化されていませんでした。その隙間を突いて攻撃者は、プールの開始以来蓄積された報酬の対象となることができました。報酬インデックスは約20か月で急激に増加しました。136,000 sSUIをステーキングした後、攻撃者は162兆の報酬ポイントを獲得しました。プールは1対1の報酬交換レートを使用していたため、そのポイントは約162,000 SUIに換算されました。プールにはわずか150,000 SUIしかなかったため、攻撃者は利用可能な残高を流し去ったのです。## オラクル操作がフラッシュローン戦略をサポートアナリストはまた、Scallopのカスタムオラクル価格フィードの操作についても指摘しました。攻撃者はSUIとUSDCのレートを引き下げ、歪んだ価格で資産を借り入れ、同じ取引内でフラッシュローンを返済しました。残ったスプレッドが攻撃者の利益となったのです。この取引は既知のDeFiのエクスプロイトパターンに従っていましたが、その実行は非常にターゲットを絞ったものでした。攻撃者はアクティブなルートや標準のSDKパスを避け、オンチェーンアクセスが残る古いコードを使用しました。後のオンチェーンデータは、盗まれた資金がSuiベースのミキシングサービスを通じて移動していることを示しており、回収努力を複雑にしている可能性があります。> 🚨 ScallopはSuiでのフラッシュローン攻撃を受け、オラクル操作により142,000ドルを失う > > 詳細 👇 > > 何が起こったのか? > > > 2026年4月26日、Scallopのレンディングプロトコルは、古いサイドコントラクトに対するフラッシュローン攻撃を受け、そのコントラクトは2023年11月のもので、sSUIスプール報酬プールに関連していました。 > > >… pic.twitter.com/xoZbLzGCf0> > — Sophia Hodlberg (@sophiaHodlberg) 2026年4月26日## Scallopはレビュー後に運用を再開Scallopは攻撃を検知した後、活動を一時停止し、その後コアコントラクトの凍結を解除しました。チームは、預金と引き出しは正常に再開され、ユーザーファンドには影響がなかったと強調しました。攻撃者はScallopに連絡し、ホワイトハットバウンティのために80%の資金を返すことを提案したと報告されています。このケースは、DeFiのセキュリティにとって困難な4月を象徴しています。今月のいくつかの大きな事件は、コアプロトコルシステムではなく、古いコントラクト、アダプター、インフラ層から発生しました。4月の事件による損失は月半ばまでに$600 百万ドルを超え、Kelp DAOやDrift Protocolが大部分の被害をもたらしました。Scallopのケースは、未使用のコードが依然としてライブリスクを生む可能性を示しています。また、チームは最新の監査済みリリースだけでなく、展開されたすべてのパッケージを追跡する必要があることも強調しています。
ホタテフラッシュ攻撃が$142K をスイ報酬コントラクトから流出させる
Scallopは日曜日にフラッシュローン攻撃を受け、旧式の報酬コントラクトから約142,000ドルが流出しました。これは、そのsSUIプールにリンクされたものです。
内容非推奨コントラクトが隠れたリスクを露呈オラクル操作がフラッシュローン戦略をサポートScallopはレビュー後に運用を再開この事件は、約15万SUIに関与し、オラクル操作と未初期化の報酬変数に依存していたようです。Scallopは、そのコアプロトコルは安全を保ち、ユーザーの預金も安全であり、損失は孤立したコントラクトに限定されたと述べています。
非推奨コントラクトが隠れたリスクを露呈
Scallopの攻撃は、メインの貸付システムや現在のプロトコルコードをターゲットにしていませんでした。代わりに、2023年11月の古いV2コントラクトとやり取りし続けていたもので、非推奨にもかかわらずオンチェーンで呼び出し可能な状態でした。Suiの不変パッケージ設計により、展開されたコントラクトのバージョンはアクセス可能なままであり、放置されたコードが見落とされた攻撃面となったのです。
セキュリティアナリストは、そのコントラクトに微妙だが深刻な欠陥があったと指摘しました。報酬プールに新しいアカウントが追加されるとき、last_indexという変数が初期化されていませんでした。その隙間を突いて攻撃者は、プールの開始以来蓄積された報酬の対象となることができました。
報酬インデックスは約20か月で急激に増加しました。136,000 sSUIをステーキングした後、攻撃者は162兆の報酬ポイントを獲得しました。プールは1対1の報酬交換レートを使用していたため、そのポイントは約162,000 SUIに換算されました。プールにはわずか150,000 SUIしかなかったため、攻撃者は利用可能な残高を流し去ったのです。
オラクル操作がフラッシュローン戦略をサポート
アナリストはまた、Scallopのカスタムオラクル価格フィードの操作についても指摘しました。攻撃者はSUIとUSDCのレートを引き下げ、歪んだ価格で資産を借り入れ、同じ取引内でフラッシュローンを返済しました。残ったスプレッドが攻撃者の利益となったのです。
この取引は既知のDeFiのエクスプロイトパターンに従っていましたが、その実行は非常にターゲットを絞ったものでした。攻撃者はアクティブなルートや標準のSDKパスを避け、オンチェーンアクセスが残る古いコードを使用しました。後のオンチェーンデータは、盗まれた資金がSuiベースのミキシングサービスを通じて移動していることを示しており、回収努力を複雑にしている可能性があります。
Scallopはレビュー後に運用を再開
Scallopは攻撃を検知した後、活動を一時停止し、その後コアコントラクトの凍結を解除しました。チームは、預金と引き出しは正常に再開され、ユーザーファンドには影響がなかったと強調しました。攻撃者はScallopに連絡し、ホワイトハットバウンティのために80%の資金を返すことを提案したと報告されています。
このケースは、DeFiのセキュリティにとって困難な4月を象徴しています。今月のいくつかの大きな事件は、コアプロトコルシステムではなく、古いコントラクト、アダプター、インフラ層から発生しました。4月の事件による損失は月半ばまでに$600 百万ドルを超え、Kelp DAOやDrift Protocolが大部分の被害をもたらしました。Scallopのケースは、未使用のコードが依然としてライブリスクを生む可能性を示しています。また、チームは最新の監査済みリリースだけでなく、展開されたすべてのパッケージを追跡する必要があることも強調しています。