Sui系レンディングプロトコルのScallopは、sSUIスプール報酬プールに関連するサイドコントラクトで不正利用が発生し、約15万SUIの損失が出たと公表した。公式X投稿では、影響を受けた契約はすでに凍結済みで、コアコントラクトは安全に保たれており、損失は財務基盤から100%補填すると説明している。

被害は「コア」ではなく周辺の報酬プール契約に限定

Scallopが説明したのは、問題が発生したのはsSUI報酬プールに関連するサイドコントラクトであり、レンディングの中核部分や他の報酬プールには影響していないという点である。Binance SquareやKuCoinの速報も、被害はsSUI報酬プールに限定され、他のプールやコア部分は無事だと伝えている。

まずは契約凍結で被害拡大を止めた

Scallopは、問題を把握後すぐに該当契約を凍結したとしている。Binance Square、KuCoin、BingXなど複数の速報でも、影響コントラクトはすでにフリーズされ、追加被害の拡大防止措置が取られたと報じられている。

補填方針は「100%カバー」

今回の発表で市場の不安を和らげたのは、Scallopが損失を全額補償すると明言した点である。公式投稿では treasury から補填すると説明され、各速報記事でも「100%カバー」の方針が確認されている。現時点では具体的な補填スケジュールまでは示されていないが、少なくとも運営側はユーザー負担を残さない姿勢を打ち出している。

背景には「古い契約」や周辺コードの残存リスク

現時点で公式の詳細な技術報告はまだ出ていないが、MEXCやAInvestなどの報道では、今回の問題は非推奨化された古い契約や報酬計算ロジックに起因する可能性があると伝えられている。つまり、コア監査だけでは拾い切れない「周辺コード」「使われなくなった契約」の管理が、DeFi運営における新たなリスクとして浮上した形である。これは現時点では報道ベースの整理であり、最終的な原因は今後の公式報告を待つ必要がある。

Sui系DeFiにとっても重い事例

ScallopはSui上の主要レンディングプロトコルの一つであり、今回の件はSuiエコシステム全体のセキュリティへの視線も強めそうだ。特に、コアプロトコルが無事でも、報酬設計や補助契約、周辺ツールが攻撃対象になることが改めて示された。DeFiでは中核機能だけでなく、報酬、インセンティブ、ブリッジ、運用補助の各レイヤーまで含めて防御を設計する必要があることを示す事例といえる。これは今回の発表と各報道を踏まえた整理である。

今回の発表が意味するもの

今回のScallopの発表は、DeFiの安全性が「プロトコル本体が破られたかどうか」だけでは測れないことを改めて示した。被害額は約15万SUIと、業界全体で見れば超大型ではないものの、周辺契約の脆弱性が現実に損失へつながり、運営側が補填を迫られる展開になった意義は小さくない。今後の焦点は、Scallopがどこまで詳細な事後報告を出すか、そしてSui系DeFiが古い契約や周辺報酬ロジックの棚卸しをどこまで進めるかに移りそうだ。

出典

https://twitter.com/scallop_io/status/2048384340049215835?s=46