別のDeFiエクスプロイト、Scallopの非推奨コントラクトから15万SUIが流出

Suiネットワーク上のDeFiマネーマーケットであるScallopは、非推奨の報酬コントラクトから約15万SUIが流出するエクスプロイトに見舞われました。攻撃者は、SUI預金者向けのプロトコルのインセンティブレイヤーであるsSUIスプールに関連するサイドコントラクトを標的にしました。Scallopチームは迅速に影響を受けたコントラクトを凍結し、コアの貸付および借入プールとユーザー預金は安全であることを確認しました。コア業務は2時間以内に再開され、チームは財務から全額返金を約束し、ユーザーの資金には影響がなく、利回りも希釈されないことを保証しました。このエクスプロイトは、2023年11月にデプロイされたV2スプールパッケージ内の初期化されていない「last_index」カウンターのバグを悪用したもので、攻撃者は不均衡に多くの報酬を獲得することができました。この事件は、Sui DeFiエコシステムにおける最近の、コアプロトコルロジックではなく周辺コードを標的としたエクスプロイトのパターンに続いており、Suiネットワーク上の不変コードと潜在的な攻撃面の管理に関する懸念を浮き彫りにしています。

(出典：BeInCrypto)