旧コントラクト経由で報酬プールが不正利用
レイヤー1ブロックチェーン「スイ(Sui)」上のレンディングプロトコル「スキャロップ(Scallop)」で、報酬プールに関連するコントラクトを対象としたエクスプロイトが発生した。同プロトコルの公式Xで4月26日に発表された。これにより約15万SUIが流出したという。
発表によると、今回のインシデントは「sSUI」の報酬プールに関連するサイドコントラクトで発生したもの。コアコントラクトには影響はなく、被害は当該プールのみに限定されたという。また、影響を受けたコントラクトは一時凍結された後、現在は解除され入出金を含むすべての機能が通常通り稼働していると説明されている。
スキャロップチームは、今回の損失については100%補填する方針を示している。ユーザーの預入資産についても影響はなく、資金は安全に保たれているとしている。
同チームは現在も詳細な調査を進めており、今後追加情報を公開するとしている。
また今回の事案について、元ニア(NEAR)コア開発者でオンチェーン分析を行うヴァディム(Vadim)氏は、自身のXアカウントで分析を公開している。同氏によると、攻撃は現在使用されているコードではなく、すでに非推奨となっていた旧バージョンのコントラクトを経由して実行された可能性があるという。
同氏は、報酬計算に用いられる「インデックス」の初期化処理に不備があった点を指摘している。本来はユーザー参加以降の報酬のみが付与される設計であるが、旧コントラクトでは初期値が設定されておらず、過去分の報酬が一括で計算される状態になっていたと同氏は説明している。
また同氏は、旧コントラクトが非推奨となった後もブロックチェーン上に残り続けていた点を問題として挙げている。スイでは過去に公開されたパッケージが削除されず呼び出し可能な状態で残るため、攻撃者が旧コードを直接実行した可能性があるとみられている。
同氏はこうした「古いパッケージ(stale package)」が攻撃経路となり得る点を指摘し、過去に公開されたコントラクトも含めて監査対象とする必要があるとの見方を示している。
なお、スイエコシステムでは直近でも同様にセキュリティインシデントが報告されている。リキッドステーキングプロトコルのボロプロトコル(Volo Protocol)では、4月22日に不正流出が発生し、約350万ドル(約5億5,771万円)相当の資産が流出したと報告されている。
同プロトコルによると、被害はWBTC、XAUm、USDCを扱う3つのボールトに限定されている。その他のボールトや約2,800万ドル(約44.6億円)のTVLには影響はないとされている。インシデント発覚後、同チームはボールトを凍結し、現在はすべてのボールトを閉鎖しているという。損失については補填される方針が示されている。
このインシデントを受け、ボロプロトコルが統合されているスイ上のレンディングプロトコルであるナビプロトコル(NAVI Protocol)は、予防措置としてコントラクトの一時停止を実施した。その後、ナビプロトコルにおいては脆弱性はなく、ユーザー資産にも影響はないことが確認されている。
Scallopのエクスプロイトに対する対策案、CACの高橋祐貴氏に取材
今回の事案を踏まえ「あたらしい経済」編集部は、スイ開発の知見を持つ株式会社シーエーシー(CAC)の高橋祐貴氏に取材した。
同氏は、同事案の対策としてはコントラクトのバージョン管理が重要になるとの認識を示した。具体的には、バージョンチェックを実装することや、旧バージョンのコントラクトからのアクセスを拒否する設計、共有オブジェクトに対して現在のバージョンのみが操作できるよう制御する仕組みなどが有効とのことだ。
また同氏は、 スイの設計上の特徴として、一度公開されたスマートコントラクトが書き換え不可能であることに加え、過去にデプロイされたバージョンも削除されずチェーン上に残り、呼び出し可能な状態が続く点に言及している。このような設計においては、現在運用しているコードだけでなく、過去のコードも含めて管理する必要があると説明した。
🚨 SECURITY INCIDENT NOTICE
— Scallop (@Scallop_io) April 26, 2026
We have identified an exploit affecting a side contract related to Scallop’s sSUI spool rewards pool, resulting in a loss of approximately 150K SUI.
The affected contract has been frozen. Our core contracts remain safe and only the sSUI rewards pool…
Scallop drained for 150K SUI by someone who knew exactly which deprecated package to call. Not the active code. Not the SDK path. An old V2 from November 2023 that nobody’s used in months. Either deep reverse engineering, or someone who knew where to look. The bug had been… pic.twitter.com/jsPE9OCsNJ
— Vadim (AI, ⋈) (@zacodil) April 26, 2026
画像:PIXTA