ゲートニュース記事、4月26日 — Suiブロックチェーン上の貸付プラットフォームであるScallop Protocolは、sSUI報酬プールに関連する廃止済みのサイドコントラクトを狙ったフラッシュローンの悪用を受け、約$142,000 (150,000 SUI)の損失が発生しました。この攻撃では、オラクルの価格フィードの操作を悪用してSUI/USDCの取引レートを不当に下落させ、歪められた価格で資産を借り入れました。その後、攻撃者は同一トランザクション内でフラッシュローンを返済し、差額を懐に入れました。
問題の核心は、2023年11月にデプロイされた非推奨(廃止済み)のV2コントラクトに起因していました。これにより、新規アカウントが作成された際に、重要な変数である"last_index"が初期化されない状態のまま、オンチェーンで呼び出し可能でした。この欠陥により、攻撃者はプールの開始時からステーキングしていたかのように報酬を請求できました。報酬インデックスは20か月で11.9億まで成長しており、攻撃者は136,000 sSUIをステークしましたが、162兆ポイントのクレジットを受け取りました。報酬プールは1:1の交換レートで運用されていたため、これらのポイントはそのまま162,000 SUI相当の報酬に変換されました。プールには150,000 SUIしかなく、資金はすべて引き出されました。オンチェーンデータによれば、盗まれた資金はすぐにミキシングサービスを通してルーティングされており、回収を困難にしていました。
Scallopのチームは対応として、まず一時的に運用を停止し、その後コアコントラクトの凍結を解除して全オペレーションを再開しました。プロトコルは、悪用が廃止済みの報酬コントラクトにのみ限定されており、コアプロトコルやユーザーの預け入れには影響していないこと、そして全資金が安全なままであることを確認しました。その後、攻撃者はチームに連絡し、ホワイトハットの懸賞金と引き換えに盗まれた資金の80%を返す用意があると申し出ました。現在、このインシデントは調査中です。チームは、OtherSecやMoveBitを含む複数の企業による過去の監査で、この欠陥がどのようにして検出を逃れたのかを見直します。
SUI価格は悪用後も堅調で、攻撃から24時間で約2%上昇し、$187 百万程度の1日取引高で$0.94で取引されています。このインシデントは、より広い4月2026年の傾向を反映しており、大規模なDeFiの悪用がコアプロトコルのロジックではなく、廃止済みのコントラクトやインフラ層を狙う形になっています。月内の12の主要インシデントで累積損失は$600 百万を超えています。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
何百ものイーサリアムウォレットが同時にハッキングされ、資産が移転された
Coin Bureauおよび暗号資産コミュニティによると、イーサリアム(ETH)ウォレットの数百件が、通常とは異なるイーサリアム・ネットワーク上の取引イベントの中で、同時に侵害されました。これには、7年以上稼働していなかったものも含まれていました。被害を受けたウォレットからの資産は、同じアドレスへ移されました。
CryptoFrontier1時間前
ビットゴーが5層チェックを追加し、デジタル・アセットのセキュリティ対策は鍵の域を超える
Bitgoは、実行前に改ざんを阻止することを目的とした5層のトランザクションモデルにより、プライベートキーを超えるデジタル資産セキュリティを推進しています。このシステムは、意図、デバイス、身元、行動、ポリシーを確認し、トランザクションが確定する前にリスクを対象にします。
重要ポイント:
Bitgoは5つを導入しました
Coinpedia3時間前
Carrot DeFi プラットフォーム、$285M Drift プロトコルのエクスプロイトの最初の被害者として停止
4月30日のCarrotの発表によると、SolanaベースのDeFi利回りプロトコルは永久に停止し、4月上旬の$285 million Drift Protocolのエクスプロイトを直接の結果として閉鎖する最初のプラットフォームになる。CarrotチームはX投稿で、Driftのハックが
GateNews4時間前
4月に暗号資産のハッキングが過去最多を記録し、20件以上の悪用、損失は6億ドル超
DeFi Llamaによると、暗号資産のハッキング件数は4月に過去最高を記録し、20件超の悪用が発生しており、事件数ベースで暗号資産史上最もハッキングされた月となりました。総損失は6億ドルを超え、KelpDAOの2億9200万ドルの悪用とDrift Protocolの2億8000万ドルのハックが、t
GateNews10時間前
北朝鮮のスパイが $285M 略奪作戦におけるドリフトを標的にしていた
## ドリフト窃盗作戦
北朝鮮の国家に後ろ盾のあるスパイが、報道によれば、暗号資産プラットフォームのドリフトを標的として、$285 millionを流出させる目的で対面の作戦を実行した。この作戦には、標的との直接的な関わりを数か月にわたって行うことが含まれていた。
## 北朝鮮のサイバー脅威のより広い範囲
seに関する報道によれば
CryptoFrontier12時間前
Purrlend は 4 月 25 日に HyperEVM と MegaETH 間で 152 万ドルのセキュリティ侵害を受けました
Purrlendの公式インシデントレポートによると、4月25日にプロトコルはセキュリティ侵害を受け、HyperEVMおよびMegaETHの導入において約152万ドルの損失が発生しました。攻撃者は2/3マルチシグウォレットを侵害し、管理者権限を自分たちに付与しました(これには含まれており)
GateNews12時間前
