KuCoin
ログイン
language_currency
ホームページ
ブログ
Market Insight
詳細
img

頻発するDeFiの脆弱性:Scallopイベントはどのようなシグナルを示しているのか?

2026/05/05 09:50:23
カスタム
DeFiプラットフォームは、仲介者なしのオープンファイナンスを約束しますが、繰り返される攻撃がユーザーの信頼を試し続けています。2026年4月26日のScallop事件は、その規模ではなく、開発者やユーザーがしばしば見落とす日常的なリスクを露わにした点で際立っています。フラッシュローン攻撃により、Suiブロックチェーン上のsSUIスプールに関連するサブ報酬契約から、当時約142,000ドルに相当する15万SUIが不正に奪われました。核心的な貸出プールは無傷のままであり、Scallopチームは直ちに影響を受けた契約を凍結し、運用を再開するとともに、自社資源で全損失を補填すると約束しました。
 
このイベントは、新しいチェーン上の well-established プロトコルですら、意図された使用が終了した後も残り続けるコードから予期しない事態に見舞われることを示しています。これは、DeFi の急速な成長がクリーンアップの取り組みを上回り、古い脆弱性とフラッシュローン、オラクル操作のような現代的な手法を組み合わせる攻撃者に隠された扉を開けたままにしていることを明確に示しています。
 

スカロップ攻撃がリアルタイムでどのように展開したか

2026年4月26日、ScallopはUTC 12:50にセキュリティ通知を掲載し、この侵害を詳細に説明しました。攻撃者は、2023年11月にsSUIスプール報酬プール用にデプロイされた、すでに非推奨となったV2報酬契約を標的としました。この契約は約17ヶ月間使用されていませんでした。この脆弱性は、新規スプール口座における未初期化の「last_index」変数に集中しており、攻撃者が20ヶ月分の累積に相当する巨額の遡及報酬を請求できる状況を生み出しました。
 
レポートによると、この攻撃はフラッシュローンとオラクル価格操作を組み合わせたもので、攻撃者が歪んだ金利で資産を借入し、価値を抽出した上で、同一のトランザクション内で返済しました。チームは問題を特定し、契約を凍結した上で、主要なユーザー入金およびコアなマネーマーケット機能は安全であることを確認しました。運用は直後に再開され、プロトコルはこのサイド契約が主要な貸出活動に影響を与えていないことを強調しました。この迅速な対応により広範な連鎖的影響は防がれましたが、この出来事は日々の損失を追跡する暗号資産コミュニティ全体の注目を集めました。
 

17ヶ月にわたり目立つ場所に隠されていた技術的欠陥

この脆弱性は、アクティブなユーザーインセンティブを支えていなかったレガシーな報酬メカニズムに存在していました。開発者は新しいバージョンに移行していましたが、古いパッケージはSuiブロックチェーン上で依然として呼び出しが可能でした。攻撃者は、初期化されていないインデックスが報酬計算を大幅に膨張させる形でデフォルトされるスプールアカウントを作成してこれを悪用しました。ポイントが蓄積された後、攻撃者はそれらをプールから実際のSUIトークンに変換しました。セキュリティアナリストは、この契約の設計が適切な初期化を前提としていたと指摘しました。これは、コードが完全な削除やアクセス制御なしに廃止された際によく見られる見落としです。
 
この事例は、ブロックチェーンがデプロイされたすべての契約を永遠に保持し、忘れられたモジュールを潜在的な負債に変える方法を示しています。Scallopの迅速な凍結により、さらなる資金の流出は停止されましたが、このイベントは、Suiのような高スループットネットワークで、トランザクション速度が頻繁な更新を促進する一方で、過去のコードを常にクリーンアップしない中で、チームがコードの廃止をどのように扱うべきかという疑問を提起しています。
 

なぜ非推奨の契約がDeFiでトラブルを引き起こし続けるのか

多くのプロトコルが機能をリリースし、テストした後、新しいアップグレードや統合に焦点を移します。古い契約は、完全に削除すると履歴データが破損したり、複雑な移行が必要になるため、チェーン上に残されます。Scallopのケースでは、V2リワードスプールは1年以上にわたり有意な活動が見られませんでしたが、それでも十分なSUIが保持されており、攻撃の価値がありました。同様のパターンはエコシステム全体で見られます。チームは、過去の部分の徹底的な監査よりも、成長と新しいTVLを優先します。
 
この結果は、自動化ツールを使用して保守されていないコードをスキャンする攻撃者に対してベクターを残します。Scallopの事象は、小さな孤立した損失が依然として広範な保守のギャップを示すパターンに加わっています。現在のインターフェースのみとやり取りするユーザーは、積極的に対処されない場合、休止中のコードがプラットフォーム全体への信頼に間接的に影響を与える可能性があることに気付かないかもしれません。
 

フラッシュローンとオラクルのトリックが現代の攻撃で交差

フラッシュローンにより、ユーザーは担保なしに大額を借入できますが、返済は1つの原子的トランザクション内で完了する必要があります。攻撃者はこれに価格オラクルの操作を組み合わせ、人工的な市場状況を作り出します。Scallopのイベントでは、攻撃者が報酬契約に関連するフィードを歪め、ローンを返済する前に過大な借入や報酬請求を可能にした可能性があります。この手口は、初期資本を必要とせず、データソースの一時的な不整合を悪用するため、標準的な攻撃手法となっています。
 
Suiでは、オブジェクト中心のモデルと高速な確定性により、このような攻撃は精密に実行できます。Scallopの事例は、オラクルが報酬ロジックにデータを提供する場合、コアでないコンポーネントですら標的になることを示しています。複数のオラクルや時間加重平均を使用するプロトコルは、このリスクを軽減することを目的としていますが、レガシーな契約にはしばしばそうした対策が欠けており、オンチェーン活動を監視する高度なアクターにとって容易な侵入ポイントとなっています。
 

スカロップの対応と損失を完全に補填する決定

Scallopは、脆弱な契約を即座に凍結し、Xを通じて透明なアップデートを提供しました。チームは、アクティブなプールに預けられたユーザー資金にはリスクがなく、プロトコルのリソースから150,000 SUI全体を補填すると約束しました。このアプローチは預金者を保護し、Sui上の競争的な貸付市場での信頼を維持するのに役立ちます。問題をサブ契約に限定することで、Scallopは本体の運用を停止することなく、借り入れと貸し出しを継続できるようにしました。
 
この対応は、セキュリティ侵害がコアでないコードに起因する場合、ユーザーに損失を負わせるのではなく、プロトコルが自己保険を選ぶやり方と似ている。観察者は、この対応が評判へのダメージを抑えたと指摘したが、バグが発生した際にプロトコルが実際に負うコストを改めて浮き彫りにした。完全な補償により、不確実性の際に出金を検討していた一般参加者に安心感を与え、エコシステム全体の流動性を維持する。
 

2026年4月のDeFi関連イベントの激しい展開

2026年4月は、すでに複数のイベントにより、月の前半だけで6億ドル以上に上る深刻な損失が記録されています。注目される事例には、約2億9300万ドルのrsETHを奪ったKelp DAOブリッジの攻撃と、約2億8500万ドルに関わったDrift Protocolの事案が含まれます。Volo Protocolが4月22日に被った350万ドルの損失のような小規模な侵害も、急速に累積しています。Scallopの14万2000ドルの損失は、比較的限定的な事例としてこの波に加わっており、4月を特に厳しい月として際立たせる月間合計に寄与しています。
 
追跡企業のデータによると、ブリッジメッセージの偽装からソーシャルエンジニアリング、スマートコントラクトの脆弱性に至るまで、攻撃の頻度と種類が急増しています。年初に集中した事例により、今年の累計損失額は過去の四半期を大きく上回っており、一部のプロトコルでの成熟が進む中で、損失が蓄積し続ける理由を業界全体が見直す圧力が高まっています。
 

Suiの拡大するエコシステムが新たな注目を浴びる

Suiは、並列実行と高速決済をサポートするオブジェクト中心のアーキテクチャを備えた高性能Layer 1として位置づけられています。Scallopは、効率的な貸出と収益機会でユーザーを引き付ける、その主要なマネーマーケットプロトコルの一つです。今回の攻撃は限定的でしたが、エコシステム内のセキュリティ対策に新たな注目を浴びせました。新しいチェーンでは、プロトコルの迅速な立ち上げとTVLの成長がよく見られますが、この速さは徹底したレガシー管理を後回しにすることがあります。
 
Suiベースのプロジェクトは、ネットワークの技術的強みを活用していますが、Scallopの事例は、チェーンレベルの利点が個々のスマートコントラクトを設計上の見落としから自動的に守るわけではないことを示しています。コミュニティの議論では、革新的なプラットフォームでの開発サイクルの高速化が、見過ごされたコードパスへの曝露を意図せず増加させる可能性があるかどうかが焦点となっています。この出来事は、Sui上のすべてのチームにデプロイ時の注意喚起と、非推奨モジュールのより良いドキュメント化を促しています。
 

攻撃を受けているプロトコルの人的側面

あらゆる攻撃の背後には、時間、資本、信頼が懸かっている実在の人物がいます。sSUIプールにステークしていた Scallop のユーザー、または報酬を獲得していたユーザーは、4月26日にチームの保証があるまで一時的な不確実性に直面しました。V2契約を構築し、その後放置した開発者たちは、17ヶ月の非活動期間を経てこの契約が標的になるとはおそらく想像もしていなかったでしょう。トランザクションの流れを発見したセキュリティ研究者やオンチェーンアナリストたちは、初期化されていない変数と報酬インフレーションのメカニズムを追跡するために数時間費やしました。
 
Suiコミュニティの小規模な参加者にとって、このイベントは個人的なものと感じられました。多くの人々がDeFiプラットフォームをハイリスクな実験ではなく、日々の収益獲得のためのツールとして扱っているからです。プロトコルが完全な補償を約束したことで、市場 sentiment により間接的に影響を受けた人々の即時のストレスが和らぎました。このような物語は、コードが人間の意思決定に基づいて動いていることを思い出させます。何を維持し、何を廃止し、問題が発生した際にどれほど透明性を持って伝えるかという決定です。
 

貸し出しプロトコル全体で繰り返されるパターン

貸し出しプラットフォームは、コラテラル、借入、オラクル、インセンティブ層を含む共通のアーキテクチャを共有しています。Scallopの報酬スプールは、ポイントやトークンによって参加を報酬とする多くのマネーマーケットと同様の機能を備えています。チームが資産プールとの関連を完全に切断せずにインセンティブシステムを廃止すると、リスクが残ります。フラッシュローン攻撃は、小さな価格差を大きな利益に拡大するため、以前から類似の設定を標的にしてきました。Scallopの契約における17か月の非活動期間は、プロトコルがインターフェースをアップグレードしてもバックエンドロジックがアクセス可能なままになるケースと一致しています。
 
エコシステム全体で、監査人は時としてアクティブなコードに重点を置き、アーカイブされたパッケージにはあまり注意を払わないことがあります。この出来事は、コードライフサイクル管理に関する議論に具体的なデータを加えました:定期的なサニセットプロセス、アクセスの取り消し、あるいは非推奨を示すオンチェーンマーカーなどは、予期せぬ攻撃を減らす可能性があります。このイベントは、インセンティブメカニズムがユーザー参加を促進する一方で、時間の経過とともにストレステストが不十分な場合、エッジケースに陥りやすい複雑な計算を導入するという、より広範な観察と一致しています。
 

2026年のDeFi損失トレンドが示す数字

DeFiの損失は2026年初頭ですでに数億ドルに達しており、4月にはそのペースが劇的に加速しました。ある分析によると、約18日間で10数件の事件が発生し、4月の損失額は6億ドルを超えたとされています。一部の推計では、ブリッジ攻撃、オラクルの問題、運用上の脆弱性が原因で、2026年累計損失は7億5千万ドルを超えています。Scallopのような小規模なイベントも、累積してセクター全体の信頼を損なうため、重要です。
 
平均損失額は異なるが、即使是非公開の侵害でも、セキュリティ失敗のコストがプロトコルの財政または保険プールに転嫁されることを示している。これらの数値は、実時間で攻撃を監視する企業が収集したオンチェーンデータとインシデントレポートに基づいている。4月における集中度は、市場状況やツールの改善により特定の攻撃ベクトルがより収益性を高める際に、攻撃のクラスターが発生し得ることを強調している。 Scallopの事例は月間合計の一部に過ぎないが、有望なエコシステムにおける総ロックアップ価値が増加しても、脆弱性が継続しているという物語に貢献している。
 

不正アクセス後の回復をチームがどのように扱ったかからの教訓

迅速な隔離と透明なコミュニケーションが、効果的な対応の重要な指標となっています。Scallopは問題が制御範囲内にとどまることを確認した後、コア契約の凍結を解除し、長時間のダウンタイムなしに通常の活動を再開しました。損失を内部で補填することで、ユーザーにヘアカットを強いることを避け、競争の激しい市場での資金流出を防いでいます。多くのプロトコルが、このような事態に備えて専用のセキュリティ予算を設けたり、保険会社と提携したりしています。
 
スカロップチームの公式通知とその後の更新により、憶測やパニックが抑制されました。一方、過去の事例では対応が遅れたり明確でなかったりしたため、TVLが長期間低下しました。このアプローチは、契約の一時停止メカニズムやサイドプールの明確な所有権を含むインシデント対応計画の準備の重要性を示しています。ユーザーにとって、開示後の数時間におけるチームの行動を観察することは、マーケティングの主張を超えた運用の成熟度を理解する手がかりとなります。
 

収益機会を活用するユーザー向けの広範なシグナル

スカロップイベントは、収益の源とそれを支えるコードをより深く検討することを促します。参加者は通常、現在のAPYやTVLを確認しますが、契約の履歴や減価状況まで深く調べることはめったにありません。スカロップのようなプラットフォームでは、sSUI関連の報酬が脆弱なスプールと一度結びついていたため、インセンティブの進化を理解することが重要です。ユーザーは、コードの変更を明確に文書化し、古いコンポーネントをクリーンに退役させるプロトコルを好むことで恩恵を受けます。
 
この出来事は、チェーン固有の機能の役割も浮き彫りにしています。Suiのモデルは効率的な相互作用を可能にしますが、スマートコントラクトの健全な運用が依然として必要です。複数のプラットフォームに分散し、出来事発生時に公式チャネルを監視することで、リスクの曝露を管理できます。どのプラットフォームもリスクを完全に排除することはできませんが、レガシーな報酬ロジックやフラッシュローンへの依存性のような一般的なパターンを理解することで、イノベーションが急速に進むこの分野でユーザーはより適切な選択をできるようになります。
 

進化するDeFiにおけるセキュリティ実践の将来を見据えて

プロトコルが成熟するにつれ、重点は自動化された未使用契約の廃止や不活性モジュールの監視強化を含む、より優れたコードガバナンスへと移っています。チームは、レガシーコードに特化した形式的検証や継続的なバグバウンティプログラムを検討しています。Scallopの事例は規模は小さいものの、新しいチェーンでの成長が、厳格な保守の必要性を消し去ることはないという実践的な教訓を示しています。
 
コミュニティガバナンスでは、セキュリティアップグレードについて投票することがあり、ユーザーが監査の優先順位に声を上げることができます。今後の設計では、古いロジックへの呼び出しを防ぐためのタイムロックや明示的な非推奨フラグが導入される可能性があります。このイベントは、現実世界の攻撃面に関する集団的な知識を深め、さまざまなプロジェクトの開防ぐためのタイムロックや明示的な非推奨フラグが導入される可能性があります。このイベントは、現実世界の攻撃面に関する集団的な知識を深め、さまざまなプロジェクトの開発者が類似の問題を予測するのに役立ちます。厳密なクリーンアップによってそれまで実行中の状態であると仮定し、すべてのデプロイ済みコントラクトを扱うことで、ユーザーもビルダーも恩恵を受けます。
 

よくある質問

2026年4月26日にスカロップの攻撃では、具体的に何が起こりましたか?
攻撃者はフラッシュローンを使用し、sSUIスプールに関連する非推奨のV2リワード契約を操作し、約150,000 SUI(約142,000ドル)を不正に取得しました。コアレンディングプロトコルには影響がなく、チームは迅速に契約を凍結し、全額補償を約束しました。
 
スカロップの主要入金からユーザーは資金を失いましたか?
いいえ、この攻撃は17か月間使用されていなかったサイド報酬契約のみを標的としました。メインのマネーマーケット操作、ユーザーの入金、およびアクティブなプールはすべて中断なく継続し、プロトコルは損失を自らのリソースで完全に補填することを約束しました。
 
なぜ廃止された契約は、発売後数年経ってもリスクを引き起こすのでしょうか?
ブロックチェーンはすべてのスマートコントラクトを永続的にアクセス可能にします。チームが古いバージョンの使用を停止しても、それらを完全に制限または削除しない場合、未初期化変数のような脆弱性が存在すれば、攻撃者は依然としてやり取りできます。Scallopの事例は、17か月の非活動期間が報酬プールの価値をターゲットとして残さなかったことを示しています。
 
DeFi貸出プロトコルにおけるフラッシュローン攻撃はどのくらい一般的ですか?
フラッシュローンは担保を必要とせず、即座に清算されるため、これらは定期的に発生します。オラクル操作と組み合わせることで、攻撃者は一時的な歪みを生み出し、価値を抽出します。Scallopの事例もこのパターンに従っていましたが、非コアコンポーネントに限定されていました。
 
DeFiユーザーは、類似の事象へのリスクを軽減するためにどのような対策を取ることができますか?
公式アナウンスメントを確認して報告された問題がないかチェックし、プロトコルのコード更新の履歴を確認し、収益の発生源を理解してください。透明なコミュニケーションと優れた対応実績を持つプラットフォームを優先してください。異なるチェーンやプロトコルに資産を分散させることで、全体的なリスクを軽減できます。
 
スカロップのイベントは、Suiエコシステムに更大的な問題を示しているのでしょうか?
高性能チェーンであっても、レガシーコードの慎重な管理の必要性を示しています。Suiは堅固な技術的基盤とともに成長を続けていますが、個々のプロトコルは非推奨コンポーネントの管理を徹底する必要があります。損失が限定的であり、迅速な回復が行われたことから、エコシステムは問題発生時に効果的に対応できることが示されています。
 
 

免責事項

このコンテンツは情報提供を目的としたものであり、投資アドバイスを構成するものではありません。仮想通貨への投資にはリスクが伴います。ご自身で調査してください(DYOR)。

免責事項: このページは、お客様の便宜のためにAI技術(GPT活用)を使用して翻訳されています。最も正確な情報については、元の英語版を参照してください。