KuCoin
ログイン
language_currency
ホームページ
ブログ
Market Insight
詳細
img

Sui上のScallop攻撃の詳細:150K SUIの回復と今後のセキュリティロードマップ

2026/05/07 03:15:02
カスタム
Suiネットワーク上の分散型金融エコシステムは、Scallop on Suiの攻撃により150,000 SUIトークンが不正に引き出されたことで、大きな試練に直面しました。この出来事は、プロトコルが使用するMoveプログラミング言語の堅牢なセキュリティ機能にもかかわらず、周辺のスマートコントラクトに依然として脆弱性が存在することを浮き彫りにしました。
この包括的な分析では、Scallop on Suiの攻撃の技術的な詳細を検討し、SUIが主要な高性能Layer 1アセットとして長期的に耐えうるかどうかを評価します。

インシデント簡報:Sui上のScallopセキュリティ侵害の理解

この侵害は、ネットワークのアクティビティが活発な期間に発生し、Scallopのインセンティブメカニズムの一部を標的にしました。一方で「コア」レンディングボックスは安全でしたが、攻撃者は報酬の計算および配布方法に存在する脆弱性を特定しました。以下では、即時の影響と、資金の全損を防いだ防御措置を解説します。

142,000ドルの不正利用:数字を分解する

攻撃当日、攻撃者は約150,000 SUIを不正に引き出し、当時の市場為替レートに基づき約142,000ドルに相当しました。開発者が資金を持ち逃げする「ラグプル」と異なり、これはプロトコルの報酬準備金に対する外部からの引き出しでした。
  • 合計損失:150,000 SUI
  • 時価総額:約142,000米ドル
  • 影響を受けた資産:SUI(リワードスポール)
  • プロトコルのTVL:約1億5千万ドル以上(その大部分は未使用)。

迅速な防御:プロトコルの一時停止がTVLで数百万ドルを救った方法

損傷を制限する上で最も重要な要因の一つは、Scallopチームの迅速な対応でした。Suiエクスプローラーに最初の異常なトランザクションが表示されてから数分以内に、チームは「緊急一時停止」機能を活用しました。この措置により、スマートコントラクトとのすべてのやり取りが一時的に停止され、ハッカーが他の流動性プールにアクセスできなくなりました。短期的な稼働時間を犠牲にすることで、このプロトコルは、攻撃ロジックがより大きな貸出ボックスに適用されていた場合に脆弱になっていた可能性のある1億ドル以上のユーザー入金を保護しました。

SUIとは?高パフォーマンスなLayer 1アセットの概要

Scallop on Suiの攻撃の背景を理解するには、その中心にある資産であるSUIを理解する必要があります。SUIはSuiネットワークのネイティブトークンであり、独自のオブジェクト中心データモデルを活用して、現存する最も高速なブロックチェーンの一つを支えています。

SUIがScallopエコシステムで果たす役割

Scallop内では、SUIは複数の機能を果たします。借り手が使用する主な担保資産であり、低リスクの収益を求める貸し手にとっての基盤資産です。
  • 担保:ユーザーはSUIをロックしてステーブルコインを発行したり、他のボラティルな資産を借入したりします。
  • ガバナンス:SUI保有者はScallopのリスクパラメーターの将来の方向性に影響を与えます。
  • インセンティブ付与:プロトコルは、深い市場流動性を促進するために、SUI報酬を「ライクビディティスプール」に分配します。

SuiネットワークのMove言語がセキュリティ上の利点を提供する理由

Suiは、MetaがDiemプロジェクトのために開発したプログラミング言語Moveを用いて構築されています。Moveは「リソースの安全性」を核として設計されています。Ethereumで使用されるSolidityとは異なり、Moveではトークンを個別のオブジェクトとして扱い、誤って複製されたり「ドロップ」されたりすることはありません。この構造的な利点により、Sui上のScallopの攻撃はコアなバウトではなく周辺の報酬契約に限定されました。SUIトークンの基本的なアーキテクチャにより、Ethereumで一般的な「再入力」攻撃はほぼ不可能になっています。

技術的解剖:Sui上のScallop攻撃の発生過程

DeFiの攻撃は、ブロックチェーンそのものを「ハッキング」することではなく、特定のアプリケーションの数学的または論理的な欠陥を見つけることにあります。この場合、攻撃者は「Spool」の報酬配分ロジックに抜け穴を見つけました。

コアを超えて:周辺報酬契約における脆弱性

調査の結果、この脆弱性は入金とローンを処理するScallop Coreにはなく、sSUI Spoolと呼ばれる「サイドカー」コントラクトに存在することが判明しました。このコントラクトは、ステークされたSUIを保有するユーザーへの利子と報酬を計算するために設計されています。報酬コントラクトは、新しいマーケティングキャンペーンに対応するために頻繁に更新されるため、核心的な貸付エンジンよりも厳密な監査が行われないことがあり、攻撃者にとって「軟弱な部分」となっています。

オラクルの操作とロジックの欠陥:データが示すもの

多くのDeFi攻撃は「オラクル操作」(トークンの価値が実際よりも高いとプロトコルを誤認させる)を伴いますが、Sui上のScallopの攻撃は主にロジックの欠陥でした。攻撃者は、実際に提供したよりも長期間、またはより高いボリュームで流動性を提供したと契約に誤認させることに成功し、自らに属さない報酬を「請求」することができました。
  1. 攻撃者は一連の迅速な入金を開始しました。
  2. 「タイムスタンプ」または「シェア計算」の不具合により、契約が報酬を過剰に割り当ててしまいました。
  3. 攻撃者は、報酬と元本を同じブロック内で引き出しました。

影響評価:SUI リキッドティーポール対リワードスプール

SEOとユーザーの明確性のため、これら2つを区別することが重要です。SUIのライクビディティーポール(ユーザーが金利を得るために資金を入金する場所)は、100%支払能力を維持しました。損失はリワードスポール—プロトコルがユーザーを引き付けるために設定する「追加」資金—で発生しました。この区別が、Scallopが迅速に全額補填を約束できた理由です。ユーザーの実際の元本は盗まれていません。

復元への道:完全補償戦略

信頼は暗号資産において最も価値のある通貨です。ScallopがSui上の不正行為に対して行った対応は、透明性とユーザー保護のグレートスタンダードとして称賛されています。

透明性を最優先:Scallopの「完全補填」ポリシー

事件直後、Scallopは「Make Whole」の約束を発表しました。彼らは財務準備金と今後のプロトコル収益を用いて、ユーザーのSUI元本および獲得した報酬が1セントも損失しないようにすることを約束しました。この前向きな姿勢により、Scallopガバナンストークンの価格が安定し、Suiネットワークからの流動性の大量流出を防ぐことができました。

配布スケジュール:SUIリターンはいつウォレットに到着しますか?

補償プロセスはスムーズになるように設計されています:
  • スナップショット期間:チームは、不正アクセスの直前ブロックでブロックチェーンのスナップショットを取得しました。
  • 自動エアドロップ:ユーザーが「請求」ボタンをクリックする必要がないよう(セキュリティリスクとなる可能性があるため)、Scallopは補償用のSUIを影響を受けたウォレットに直接エアドロップしました。
  • 完了:プロトコルの再開後72時間以内に、ほとんどのユーザーの残高が復元されました。

要塞を強化する:今後のDeFi攻撃を防ぐ方法

すべての不正利用は教訓です。Scallopチームは以来、SUI上の彼らのDeFiバージョンを業界で最も安全なものにすることを目的としたセキュリティロードマップを公開しました。

リアルタイムモニタリング:高度なオンチェーン回路遮断器の実装

Scallopは、自律的に動作する「サーキットブレーカー」を統合します。プロトコルが単一の取引で総プールの10%を超える引き出しを検出したり、1時間以内に報酬配布率が500%急上昇したりした場合、契約は自動的に「制限モード」に入ります。これにより、人間が対応する前に自動ボットが資金を引き抜くのを防ぎます。

冗長なオラクル統合:単一障害点の排除

SUIコラテラルの価値をさらに保護するため、Scallopはマルチオラクルシステムへの移行を進めています。Pyth、Stork、Switchboardのデータを統合することで、1つのデータプロバイダーが操作されたり障害が発生しても、資産の真の価格が正確に維持され、清算の連鎖を防ぎます。

Scallop on Suiにおけるホワイトハットバグバウンティの拡大

Scallopはバグバウンティプログラムを大幅に拡大しました。「クリティカル」な脆弱性に対して最大50万ドルを報酬として提供することで、倫理的なハッカーが脆弱性を悪用するのではなく報告するよう促しています。このクラウドソーシング型のセキュリティモデルは、Sui上のScallopの急速に進化するエコシステムにとって不可欠です。

投資家の安全ガイド:SUI DeFiで資産を守る方法

プロトコルがその役割を果たす一方で、投資家も「深度のある防御」を実践する必要があります。Sui上のScallopの攻撃の後で安全を保つには、疑念と技術的な注意深さの両方が必要です。

ソースの確認:不正アクセス後のフィッシング詐欺を回避する

暗号資産ユーザーにとって最も危険な時期は攻撃後です。詐欺師はソーシャルメディア上で偽の「返金ポータル」を作成することがよくあります。
  • ルール1:「返金を請求する」ためにシードフレーズをウェブサイトに入力しないでください。
  • ルール2:金色の認証マークが付いたScallopの公式Twitter(X)アカウントからのリンクのみを信頼してください。
  • ルール3:サポート担当者が最初にダイレクトメッセージを送ってきたら、それは詐欺です。

分散化戦略:複数のSuiプロトコルにわたるリスク管理

Sui上でScallopが好きでも、SUIを1つのプロトコルに100%保有することは避けてください。NAVIのようなレンディングプラットフォームや、HaedalやVoloのようなリクイドステーキングプロトコルに分散することで、あるプラットフォームで技術的トラブルが発生しても、あなたのポートフォリオ全体が凍結されることを防げます。

ウォレットのセキュリティ:権限の取り消しの重要性

DeFiプロトコルを使用した後は、「無制限の許可」を解除することが推奨されます。Revoke.cashやSuiウォレットに組み込まれた権限管理ツールを使用すると、資金を契約の移動可能状態から切断できます。これにより、将来的に契約が攻撃された場合のリスクを軽減できます。

結論

Sui上のScallopによる攻撃は、DeFiが試行錯誤の反復プロセスであることを強く示す教訓です。150,000 SUIの損失は大きかったものの、プロトコルが停止し、パッチを適用し、ユーザーに補償を提供できたことは、暗号資産業界でしばしば欠如している成熟度を示しています。Suiネットワークが成長を続ける中、この出来事から得られた教訓は、より堅牢で「ハッキング不可能な」スマートコントラクトの実現につながるでしょう。投資家にとっての教訓は明確です。技術はレジリエントですが、分散型の世界において財政的主権を守るためには、常に警戒を怠らないことが代償です。

FAQ:

Scallop on Suiでの攻撃では、具体的に何が起こりましたか?

sSUI報酬プールのロジック脆弱性により、攻撃者が150,000 SUIを不正に取得しました。しかし、主要な貸付バウトおよびユーザーの元本は、この出来事全体を通じて完全に安全で影響を受けませんでした。

ScallopでSUIを貸出するのはまだ安全ですか?

はい、プロトコルはパッチが適用され、監査も完了しています。Scallopのコア契約はSuiネットワーク上で最も安全なものの一つであり、チームの「Make Whole」ポリシーによりユーザーの保護が保証されています。

影響を受けた場合、補償をどうやって受け取ればよいですか?

Scallop on Suiの攻撃の場合、補償は影響を受けたウォレットに直接エアドロップによって処理されました。外部の「請求」サイトにウォレットを接続する必要はありません。

この攻撃はSUIの価格に影響を与えましたか?

SUIの市場価格への影響はわずかで一時的なものでした。この攻撃はSuiネットワーク自体ではなく、単一のプロトコルの報酬契約に限定されていたため、より広範なエコシステムは安定を維持しました。

今後のScallop on Suiのセキュリティレポートの最新情報をどのようにして入手できますか?

公式のScallop DiscordおよびTwitterチャンネルをフォローしてください。これらでは、セキュリティパッチ、TVLの成長、Sui DeFiエコシステムの進行中の開発に関するリアルタイムの更新が提供されます。

免責事項: このページは、お客様の便宜のためにAI技術(GPT活用)を使用して翻訳されています。最も正確な情報については、元の英語版を参照してください。