ソラナのLoopscaleで8億円超の不正流出、ローンチ2週間で

ソラナ SOL +1.65%基盤の分散型金融（DeFi）プロトコルLoopscaleは26日、約580万ドル（約8億2940万円）相当の暗号資産（仮想通貨）が不正流出するエクスプロイト被害を受けた。

同プロトコルはエクスプロイト後、攻撃者に対して盗まれた資産の90%を返還することで、盗難金の10%を報奨金として提供すると申し出た。

これに対し攻撃者は、報奨金と引き換えに盗んだ資金を返還する意思を示したという。

Today at 11:30AM EST, a manipulation of Loopscale’s RateX PT token pricing functions led to an exploit of ~5.7M USDC and 1,200 SOL from the Loopscale USDC and SOL Vaults. All Loopscale markets have been temporarily halted while our team investigates further.

This exploit…

— Loopscale (@LoopscaleLabs) April 26, 2025

Loopscaleとは？

Loopscaleは、6ヶ月のベータ期間を経て2025年4月10日に正式ローンチされたばかりのプラットホームだ。

Aaveなどの多くの分散型金融（DeFi）プロトコルが採用する流動性プール方式ではなく、オーダーブックモデルを用いて貸し手と借り手を直接マッチングするレンディングプラットフォームとして設計。

ストラクチャードクレジット、売掛金ファイナンス、担保不足ローンなどの専門市場を提供していた。

同プロトコルの預かり資産総額（TVL）は不正流出前、約4,000万ドル（約57億2000万円）となっており、7,000人以上の貸し手を集めていた。

特にUSDCとSOLのプールは、それぞれ年利5%以上、10%以上の利回りを提供し注目されていた。

また、JitoSOLやBONKといったトークンの貸し出しもサポートし、40のトークンペアにわたるループ戦略を可能にしていた。

エクスプロイトの詳細と影響

事件が発生したのは2025年4月26日。攻撃者は、プロトコルのRateXベースの担保価格評価システムにおける孤立した脆弱性を悪用した。

特に、プラットフォームの中核資産であるUSDCとSOLのプールを標的とし、約570万USDCと1,200ソラナ、合計約580万ドル（約8億2940万円）を流出させた。

これは、当時のLoopscaleのTVLの約12%に相当する額となっている。

プロトコル側は、RateXシステム自体が侵害されたのではなく、LoopscaleがRateXベースの担保を評価する方法に問題があったと説明している。

また、Loopscaleは被害状況の評価と調査のため、すべての貸し出し業務を一時停止する措置を取った。

その後、一部サービスは再開され、ユーザーはローンの返済、担保の補充、ローンループのクローズが可能になっている。しかし、ボールトからの引き出しや一部の主要機能は依然として無効化されている。