最近Scallopの損失事件は注目に値する。Suiの最大のレンディングプロトコルは4月26日に攻撃を受け、約14万ドルの損失を出した。一見すると金額は大きくないが、その背後にある問題は数字以上に警戒すべきものである。

今回の攻撃の切り口は非常に興味深い——Coreなレンディングシステムからではなく、すでに廃止された報酬契約から突破口を見つけた。これはまるで家の正面玄関の防御は堅固だが、裏庭の古い扉が放置されているようなものである。攻撃者はこの忘れられた古い扉を通じて侵入した。

面白いことに、Scallopは2025年2月にSui財団主導の全面監査を完了していた。しかしそれでも、この廃止された契約が脆弱なポイントとなった。分析者は、監査を受けたからといって安全が保証されるわけではないと指摘している——Kelp DAOの例が典型例だ。二度の独立監査を経ても、2億9200万ドルの損失を出している。

Scallopチームの対応は比較的良好で、迅速に脆弱性を隔離し、関連契約を停止したため、ユーザ資金には影響がなかった。しかし、この事件は、Suiエコシステム内でますます多くの古い契約が攻撃の媒介として使われているという、広がる問題を浮き彫りにしている。

さらに憂慮すべきは、4月の全体的な状況だ。この月、DeFi分野では13件のセキュリティインシデントが記録され、総損失額は6億600万ドルを超え、ある大手取引所の事件以来最も深刻な月となった。特にSuiネットワークは被害が大きい——Cetusは2025年5月に2億2300万ドルを失い、Nemoは9月に24万ドル、Voloは4月22日に35万ドルを失った。これらの事件は密集して発生しており、単なる個別の脆弱性ではなく、システム的な課題を示している。

リスクを低減するにはどうすればよいか？まず、すでに停止された古い契約は使わないこと。次に、報酬を定期的に引き出し、放置しないこと。さらに重要なのは資金の分散だ。すべての資金を一つのバスケットに入れないこと。参入前には公式アナウンスも確認すべきだ。

より大きな視点から見ると、監査プロセスの強化、特に廃止された契約の審査が必要である。4月の一連の事件は、各プロトコルに契約のライフサイクル管理を見直すきっかけを与えるかもしれない。Scallopのケースは、業界全体に警鐘を鳴らしている。