Suiブロックチェーン上のDeFiプロトコルであるScallop(スキャロップ)において、非推奨となっていた報酬コントラクトを標的とした不正流出が発生しました。この攻撃により計15万SUIの損失が確認されていますが、プロジェクトチームはユーザーの損失を全額補填することを表明しています。本件は、運用の役割を終えた古いスマートコントラクトの管理におけるリスクを改めて浮き彫りにしました。
非推奨の報酬コントラクトを標的とした攻撃の概要
今回の不正流出は、Scallopが過去に使用し、現在は非推奨(Deprecated)としていた報酬関連のスマートコントラクトが標的となりました。報道によると、攻撃者はこの旧式コントラクトの脆弱性を突き、約15万SUIを引き出したとされています。
ScallopはSuiネットワークにおける主要なレンディング(貸付)プロトコルの一つですが、今回の攻撃対象は現行のメインシステムではなく、すでに運用の中心から外れていた古いプログラムであったことが特徴です。
チームによる全額補填と対応
事案の発覚後、Scallopのチームは今回のエクスプロイト(脆弱性を突いた攻撃)によって発生した損失をすべてカバーする方針を明らかにしました。チームが迅速に全額補填を決定したことにより、ユーザーが直接的な損失を被る事態は回避される見通しです。
DeFi業界では、新しいバージョンのコントラクトへ移行した後も、古いコントラクトがブロックチェーン上に残り続け、それが攻撃の糸口になる事例が散見されます。今回の事案は、プロトコルのアップグレード後における旧資産や旧プログラムの安全な閉鎖・管理が、エコシステム全体のセキュリティを維持する上で極めて重要であることを示しています。
ポイント
- Scallopの非推奨となっていた報酬コントラクトから15万SUIが不正に流出しました。
- 攻撃の対象は現行の運用コントラクトではなく、旧式のプログラムであったとされています。
- Scallopチームは、今回の事案による損失を全額補填することを公式に表明しています。
- プロトコルの更新後も残存する古いコントラクトの管理が、セキュリティ上の課題として再認識される事例となりました。