SyFuのEVT報酬プール不正操作、原因はデプロイ手順　段階的再開は2月25日目安

SyFu : Payment Data DePIN（以下、SyFu）が、BNB Smart Chain上で運用するEVT報酬用プールコントラクトに関わる不正アクセスを確認し、オンチェーン照合で約110,573 EVTの流出を把握したと発表した。

SyFuは、BNB Smart Chain上で稼働していたEVT報酬用プールコントラクトに関わる不正アクセスを確認したと説明している。運営は報酬プールを停止済みとし、事象に起因する追加流出が起こる経路は残っていないと整理した。流出量はオンチェーン照合で約110,573 EVTとする。

攻撃者は「EVT報酬用プールコントラクト」を不正に操作し、EVTが不正に移転される事象を発生させたとのことだ。SyFuは不正移転を大きく2系統に分類している。1点目はEVT報酬用プールコントラクトからの不正移転だ。2点目は、アプリ内の取引や精算処理に用いられる取引権限（Approval）が有効だった一部のSpendingウォレットでの不正移転と説明している。

Spendingウォレットは、BiconomyのERC-4337スマートアカウント29件で不正なEVT移転が確認されたという。秘密鍵の漏洩やウォレット乗っ取りではないとも述べる。攻撃はコントラクトに紐づくApprovalが不正に利用された形と位置付けられる。

SyFuは、サーバーやデータベース、決済データ（個人情報を含む）への不正アクセスは発生していないと明言した。SyFuウォレット（MPCを含むウォレット基盤）およびユーザーの秘密鍵も侵害がないとしている。NFTコントラクト、EVTコントラクト、運営ウォレットについても不正アクセスや侵害は確認されていないという。

SyFuが示した現時点の根本原因は、コントラクトコードそのものの脆弱性ではなくデプロイ手順上の問題だ。プロキシコントラクトのデプロイと初期化が別トランザクションになった点が焦点になる。初期化前の短いタイミングで第三者に先回りされ、悪意ある実装が差し込まれたと説明している。結果として攻撃者がプロキシの制御権を取得し、後日（2月21日）にEVT流出が実行されたという。

SyFuアプリはメンテナンス中で、ログインを含む各種機能を停止している。EVT報酬用プールは運用停止済みで、関連する確認・対応は完了したとする。運営は運営ウォレットと関連コントラクトの確認も終えたと述べている。

攻撃者アドレスの追跡も進め、必要に応じて凍結要請や通報などの手続きを進める方針だ。第三者機関とも協力し、安全な運用体制の整備を進めているという。「出金待機中のEVT表示」については表示上の問題も含めて確認・整理を行い、必要分はメンテナンス後に反映予定とした。

再発防止に向け、デプロイ手順の見直しを掲げている。初期化を含めたアトミック化を実施し、初期化前に介入される余地を潰す狙いだ。重要権限の保護強化としてタイムロックなどの導入も検討するとしている。デプロイ後検証の自動化も挙げ、初期化状態、権限設定、実装差し替えの有無などを機械的にチェックする方針になる。

Approval設計と精算方式の改善も柱だ。SyFuは運用上、EVTのゲーム内残高との「定期精算」によりApprovalが一定期間残る前提があったと説明している。今後は定期精算を廃止し「都度精算」へ仕様変更し、Approvalが残存する前提を構造的に排除するという。第三者機関と協力し、EVT報酬プールコントラクトの移行とスマートコントラクト運用の安全性について協議を進めるとしている。

SyFuは安全性を最優先とし、3ステップで段階的に再開するとした。第1段階はアプリ再開で、Spendingウォレットにおける「EVTの入出金を伴う機能」のみ制限し、SyFuアプリ（SyFuウォレットを含む）を先に再開する。EVT入出金は再開しない整理だ。BNBの入出金および利用は影響を受けていないとも述べる。

第2段階はEVT報酬プールコントラクトの移行だ。設計とデプロイ手順を含む検証を実施し、十分な安全性が確認でき次第、新コントラクトを公開するとしている。第3段階でEVT入出金を再開する計画になる。アプリ再開の目安として2月25日を掲げ、準備が整い次第、速やかに再開するとしている。

多くのユーザーは現時点で追加操作は不要と案内している。該当者については、起動時にパスキー認証を含む導線を用意し、アプリ内のEVT取引・精算処理に用いるApprovalを解除できるようにするという。SyFuは、Approval解除が完了するまでアプリ利用を開始できない仕様にすると説明した。

詐欺行為が増加しやすい局面とも注意を促す。運営がDMで手続きを依頼したり、外部サイトへ誘導したり、シードフレーズや秘密鍵などの提供を求めたりする行為は一切ないと明言している。

SyFuは、影響を受けたユーザーのアプリ内EVT残高が本来あるべき数量から減少しないよう保全措置を講じる方針だ。報酬プールからEVTが不正移転しているため、今後の報酬配布に支障が出ないよう流出分相当の報酬配布原資を手当てすると述べる。追加発行（追加Mint）は行わず、既にMint済みのEVTの範囲内で手当てすると整理した。

流出EVTは追跡を継続し、必要に応じて凍結要請などを行うという。回収できた分は原資手当てに伴う調整へ充当する方針になる。供給・循環上の歪みは市場環境を踏まえつつ段階的に是正するとしている。

SyFuは、本アナウンスでの報告とAMAなどでの説明を予定している。段階的なアプリ再開、EVT残高の保全措置、EVT入出金周りの安全性確認と仕様変更、最終的な全機能再開へ進める計画だ。プロジェクトの今後のマイルストーンとして、SyFu Invite Program（報酬付与開始）、EVT Contribution Program、SyFu Mainnet β公開を挙げ、詳細は公式アナウンスやAMAで伝えるとしている。

SyFu公式サイト：https://syfu.io/
SyFu公式ドキュメント（GitBook）：https://docs.syfu.io/
SyFu公式X（グローバル）：https://x.com/syfuofficial
SyFu Japan公式X：https://x.com/syfujapan
SyFu（Medium）：https://medium.com/@syfu
BNB Smart Chain（BSC）：https://www.bnbchain.org/
BscScan：https://bscscan.com/
Biconomy Docs（Smart Accounts）：https://legacy-docs.biconomy.io/