2025年5月22日（日本時間）、Sui最大級のDEXであるCetus Protocolにおいて、Cetusの価格設定メカニズムの脆弱性を悪用した攻撃が行われました。

攻撃者は約2億2300万ドルを盗み、そのうち約6100万ドルをBridge利用してイーサリアムのウォレットに1時間程で計76回にわたって送金をしています。

送金に使用された95%以上がUSDCなどのステーブルコインでした。

攻撃者の資産を一部凍結

攻撃者が使用したアドレスは、おそらくブラックリスト機能を使用して凍結されました。

攻撃時に使用したアドレスのポートフォリオや動向は以下のリンクで確認ができます。

攻撃者がSUIを送ったアドレスはこちらです。

盗み出された資産の中でもSUIをはじめとしたSuiブロックチェーン上の銘柄は攻撃者のウォレットから送金などはされなかったため、それによる売り圧は発生しませんでした。

Cetus Protocolの対応

Cetus Protocolは、原因分析と資金追跡を素早く行い、根本原因の特定とパッケージの修正、攻撃者のウォレットの特定を完了しました。

すでにサイバー犯罪対策組織との契約や法執行機関と協議をしています。

また、攻撃者に対してメッセージを送っています。

ざっくりとした内容は以下の通りです。

• 20,920 ETHと2つのSuiアドレスにある資産全てを指定したアドレスに返してください
• 交換条件は2,324 ETHを報奨金として渡すこと、法的処置や情報収集は行いません

攻撃者はSuiのアドレスは凍結されているため、実質的には18,596 ETHを渡すことで、法的処置などを受けなくなるというのは交換条件として悪くはないとは思います。

MystenLabsの対応

まず、ブラックリスト機能を用いて、2つのアドレスの資産の凍結をしました。

この対応により、約72%の被害を減らすことができました。

その後、ホワイトリスト機能を実装したようです。

ホワイトリスト機能は、承認処理をスキップできるようになるようです。

今後の展開予想

想定される3つの展開と、それぞれの展開に対する筆者の考えを記載します。

1. 攻撃者が返金を行う場合

• 一番良い解決の展開であり、Cetusの流動性プールに返金が行われ、被害が最小限になる。
• Cetusや他のDefiにとってセキュリティの強化を検討する良い機会となり、少ない被害でSuiを成長させる良い出来事となる。

2. 資産が凍結されたままとなる場合

• 資産の多くが永久的にロックされた状態となり、それぞれの資産の希少価値の上昇による価格上昇が考えられる。
• Cetusが利用者に盗み出された分の保証をする場合、盗まれた資産の買いが入る可能性があるため、価格上昇が考えられる
• Cetusの流動性の回復が遅くなることで、Cetusのスワップ時に価格の乖離などが発生しやすくなる。
• 約6,100万ドル相当の資産は回収ができない

3. 資産がホワイトリスト機能を用いてCetusに戻される場合

• Cetusの流動性がすぐに回復し、Cetusがこれまでと同じように利用可能になる。
• Suiの利用者にとっては、今後も利用したいと思えるが、Suiの分散性に疑問が生まれ、批判的な意見が出る。
• 約6,100万ドル相当の資産は回収ができない

今回の攻撃は、CETUSのステーキング報酬にも影響が出ると思われます。

次の水曜日にもらえる報酬が変動すると思いますので、来週木曜日にCETUSの報酬に関する記事を書く予定です。

Xのフォローやいいね、リポストよろしくお願いします！

投稿を確認