Suiネットワーク上のマネーマーケット「Scallop」は、プロトコルのsSUIスプールに紐づく廃止済みリワードコントラクトから攻撃者により約15万SUIを流出した。
チームは数分以内に被害コントラクトを凍結し、財務資金から全額補償する方針を示した。中核オペレーションは2時間以内に再開した。
Suiの周辺コードで再び不正流出、コアプロトコルに影響なし
Scallopは4月26日12時50分(UTC)、X上で本件を公表した。攻撃者はsSUIスプール向けリワードを管理するサイドコントラクトを標的とした。sSUIスプールはSUI預金者のためのインセンティブレイヤーである。
チームによれば、問題のコントラクトは直ちに凍結した。中核の貸付・借入プールは無傷。Scallop内の他マーケットの預金資産も全て安全を確保した。
2時間後、Scallopは中核コントラクトの凍結解除を確認した。出金・入金は14時42分(UTC)に再開した。
Suiネットワークの大半のユーザーには本件の影響が及ばなかった。
「Scallopは損失の100%を全額補償する」──マネーマーケット側は表明した。
2023年の古いパッケージコードが攻撃の起点に
独自のオンチェーン分析によれば、V2スプールの廃止パッケージが攻撃の入口となった。Scallopはこのコードを2023年11月に公開しており、攻撃時点で17か月以上前となる。Sui上では一度デプロイされたパッケージは不変。バージョン制限を設けなければ古いバージョンも呼び出し可能となる。
バグは、ステーキング保有者の累積報酬を追跡する未初期化のlast_indexカウンターに存在した。攻撃者は約13万6000sSUIを預け入れ、この不備を悪用した。
計算上、そのポジションは2023年8月のスプール開始当初から存在していたものとして扱われた。
スプールインデックスは20か月間で約11億9000万まで成長。攻撃者は約162兆リワードポイントを獲得し、リワードプールから1対1で15万SUIを引き出した。
オンチェーンの資金流出証拠は、トランザクションハッシュ「6WNDjCX3W852hipq6yrHhpUaSFHSPWfTxuLKaQkgNfVL」に記録されている。
Sui DeFiで繰り返される攻撃パターン
今回の件は、ここ数週間で続発するSuiの流出事件に連なる。今月初めにはVolo Protocolが周辺コントラクトの不正流出で約350万ドル相当を失った。いずれもプロトコル本体ではなく、サイドコントラクトが狙われている。
また、先週にはイーサリアムの主要ブリッジのインシデントがあり、約2億9200万ドル分の裏付けのない再ステーキングトークンが生じた。いずれも流動性が薄く対応が遅れがちな週末に発生した。
Sui FoundationおよびMysten Labsはいずれも今件に関して公式コメントを発表していない。
一方でScallopは、損失規模が限定的であることを強調。プロトコル側は、損失全額を負担し、ユーザー配当に影響しない方針を示した。
チームはまだ全容の事後報告は公表していない。今後、残存するレガシーパッケージの完全監査結果がSui DeFi全体の対応方針に影響を与える見通し。
Sui開発者が不変コードと見過ごされた攻撃面をどう管理すべきかが、今後の課題である。
