Scallop Protocolは日曜日にフラッシュローンのエクスプロイトに遭遇した。攻撃者は高度に標的を絞った手法で、約142,000ドル（150,000 SUI）を流出させたと報告されているScallop Protocolは日曜日にフラッシュローンのエクスプロイトに遭遇した。攻撃者は高度に標的を絞った手法で、約142,000ドル（150,000 SUI）を流出させたと報告されている

Scallop Protocolはフラッシュローンとオラクル操作攻撃を組み合わせた手口により14万2000ドルの損失を被った

出典：Cryptopolitan

2026/04/27 05:50

10 分で読めます

SUI$0.9546+1.86%

本コンテンツに関するご意見・ご感想は、crypto.news@mexc.comまでご連絡ください。

Scallop Protocolは日曜日にフラッシュローン攻撃を受けた。攻撃者は高度に標的を絞ったオラクル操作攻撃により、約142,000ドル（150,000 SUI）を流出させたと報告されている。この攻撃はプロトコルのコアコントラクトには触れず、より深い設計上の欠陥を露呈した。

攻撃者はScallopのsSUI賞金プールに紐付いた非推奨のサイドコントラクトを悪用したと報告されている。チームはコアプロトコルは無傷であり、すべてのユーザーの入金は安全であると強調している。ただし、損失はその隔離された部分にのみ完全に限定されている。

Scallop Protocol lost $142K in a flash loan merged with an oracle manipulation attac

古いコードかオラクルの欠陥か？

アナリストは、核心的な問題はScallopのカスタムオラクル価格フィードの操作にあったと指摘している。これにより攻撃者はSUI/USDCのレートを人為的に下落させ、歪んだ価格で資産を借り入れることができた。その後、同一トランザクション内でフラッシュローンを返済し、最終的に攻撃者はその差額を持ち去った。

これはDeFiの典型的な攻撃パターンに従っているが、今回の実行は異例なほど精密だった。攻撃者はアクティブなコードや標準的なSDKルートを標的にしなかった。彼らは2023年11月の古いV2コントラクトと直接やり取りした。これは放置されながらもオンチェーンで呼び出し可能な状態で残っていたバージョンだった。Suiはデプロイされたすべてのコントラクトバージョンをイミュータブルかつアクセス可能な状態に保つ。それがこの古いパッケージが隠れた攻撃対象領域となった理由だ。

Suiの価格はこの攻撃後も下落していない。過去24時間でほぼ2%上昇している。Suiは記事執筆時点で0.94ドルで取引されている。24時間の取引量は約1億8,700万ドル前後で推移している。

あるエキスパートの投稿によると、欠陥自体は微妙だが深刻なものだったという。非推奨コントラクトにおいて、新しいアカウントが作成された際にキー変数「last_index」が初期化されることはなかった。これにより攻撃者は、ステーキングプールの開始当初からステーキングしていたかのように報酬を請求できた。

報酬インデックスが時間とともに増加していたため、攻撃者は単一のトランザクションで報酬プール全体を自分に付与させた。同氏はSpoolインデックスが20ヶ月で11.9億まで増加したと述べている。

攻撃者は136K sSUIをステーキングし、162兆ポイントを付与された。しかし、賞金プールは1:1の交換レート（分子と分母がともに＝1）で運用されていたため、162Tポイントは直接162K SUI相当の報酬に変換された。プールには150K SUIしか入っておらず、すべてが流出した。

オンチェーンデータによると、盗まれた資金はSui上のTornado Cashに類似したミキシングサービスを通じて素早く送金された。これにより回収はさらに困難になっている。

ハック後オンラインに復帰したScallop

Scallopのチームは一時的に運営を停止することで対応した。その後、コアコントラクトの凍結を解除し、すべての操作が再開されたと報告している。あるXの投稿では、この問題はコアプロトコルに関連するものではなく、非推奨の報酬コントラクトに隔離されたものであることが強調された。最終的にユーザーの入金は影響を受けず、すべての資金は安全な状態を保っている。出金とオンチェーン入金は現在正常に機能している。

攻撃者はチームに連絡を取り、ホワイトハットバウンティと引き換えに資金の80%を返還することを申し出たと報告されている。現在、この事件は調査中である。チームはOtterSecやMoveBitなどの企業による以前の監査でこの欠陥がどのように見逃されたかを確認する予定だ。

Cryptopolitanは、2026年4月の主要インシデントの多くがコアプロトコルのロジックからではなく、アクセス可能だが見落とされていた古いコントラクト、アダプター、またはインフラストラクチャーレイヤーから発生したと報告した。4月中旬までの累積損失は7億5,000万ドルを超えた。2026年4月だけで、12件の主要インシデントにおいて6億ドル以上の資金が盗まれた。

Kelp DAOとDrift Protocolを合わせると、4月の損失の約95%を占めている。Kelpへの攻撃はAave上で1億7,700万ドルの不良債権をもたらした。一方、ArbitrumのSecurity Councilは盗まれた資金のうち30,766 ETH（約7,100万ドル相当）の凍結に成功した。

HyperliquidはDeFiカテゴリーで依然として最大のトークンだ。HYPEの価格は過去30日間で10%上昇している。記事執筆時点では41.95ドルで取引されている。ChainlinkはLINKが約9.4ドルで取引され、2位につけている。

あなたの銀行はあなたのお金を使っている。あなたが受け取るのはわずかなおこぼれだ。自分自身の銀行になることについての無料動画をご覧ください

$200,000のUフェスをお見逃しなく

ミステリーボックス、12％のAPR、$200の新規ユーザーギフトをゲット！

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために crypto.news@mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。