SuiのDEX「Cetus」、ハッキング被害の詳細報告。脆弱性修正やハッカーの特定、和解交渉も

Bitget App

スマートな取引を実現

Bitget

ニュース

neweconomy-news (JP)2025/05/26 05:06

著者:髙橋知里

資金返還を条件に追加措置を見送る姿勢

Sui（スイ）ブロックチェーンネットワーク上に構築された分散型取引所（DEX）の「Cetus（セータス）」の開発チームは、5月22日に発生したハッキング事件を受けての対応を翌23日報告した。

その報告によれば、「Cetus」はSuiおよび関連組織と協力し、インシデント分析と資金追跡を実施。ハッカーを特定したという。

このほかにも、脆弱性の悪用の根本原因の特定や、関連パッケージの修正、専門のサイバー犯罪対策組織との連携、法執行機関との綿密な連携によるさらなる支援要請などを行ったと報告している。

また「Cetus」は犯人が管理するイーサリアム（Ethereum）ウォレットアドレスの特定に成功し、盗難資金の返還交渉を行っているという。

「Cetus」はデータ分析企業のインカ・デジタル（Inca Digital）との連名メッセージにて、20,920 ETHと攻撃者のSuiウォレットに凍結された資金全額の返還を条件に、2,324 ETHを報奨金として受け取る旨の和解案を攻撃者に提示。ハッカーが「Cetus」の条件を受け入れた場合、追加の法的措置を講じないことを約束している。

「Cetus」は5月22日未明、攻撃者によって約2億2,300万ドル（約321億円）のハッキング被害を受けた。

その後、「Cetus」は被害額のうち約1億6,200万ドル（約234億円）が凍結されたと報告。残りの資金を回収する方法を模索していた。

脆弱性はCLMMの演算処理にあり

また、ブロックチェーンセキュリティ企業Dedaub（デドーブ）が発表した、このハッキングに関する事後レポートによれば、この事件は、集中型流動性マーケットメイカー（CLMM）の計算処理に存在していた脆弱性を突いたものだという。

CLMMの流動性計算に使用される関数「get_delta_a」では、数値のビットシフト演算を行う「checked_shlw」が用いられていたが、オーバーフローを検出する仕組みが不完全であったとのこと。

そのため、特定の条件下では桁あふれが発生しても検知されず、不正な流動性の算出が可能となっていたという。

攻撃者はこの欠陥を利用し、極端に大きな「流動性」パラメータを指定してLPポジションを構築。実際には1単位のトークンAしか提供していないにもかかわらず、システム上では巨大な流動性を保有しているかのように認識させることに成功したとのことだ。

攻撃の具体的な手順として、攻撃者はまず、1,000万haSUIをフラッシュスワップで借り入れ、プール価格を意図的に急落させた。

その直後、非常に狭い価格帯（tick range）でLPポジションを作成し、わずか1単位のトークンAを投入して不正に大量の流動性を獲得した。

攻撃者は、得られたLPトークンを即座に引き出し、SUIやUSDCなどの実際の資産を大量に取得した後、借り入れていたhaSUIを返済し、利益を獲得したとのことだ。

参考： Inca Digitalとの連名メッセージ、発表、報告書
画像：iStock/Aleksei_Derin

この記事の著者・インタビューイ

髙橋知里

「あたらしい経済」編集部記者・編集者

前の記事 Ledger、ソラナ専用ハードウェアウォレット発売開始

合わせて読みたい記事

Ledger、ソラナ専用ハードウェアウォレット発売開始暗号資産（仮想通貨）ハードウェアウォレット開発企業レジャー（Ledger）社が、ソラナ（Solana）エコシステム専用のハードウェアウォレット「レジャーフレックスソラナエディション（Ledger Flex Solana Edition）」を段階的に販売開始したと5月22日に発表した

一本寿和ニュース

Franck Muller、ソラナモデルの腕時計1,111本を販売開始スイスの高級時計ブランド「フランクミュラー（Franck Muller）」が展開するWeb3ラグジュアリー時計ブランド「フランクミュラーエンクリプト（Franck Muller Encrypto）」によるソラナ（Solana）モデルの新作腕時計が5月24日に販売開始した。「フランクミュラーエンクリプト」が同日に公式Xより発表している

一本寿和ニュース

トランプ大統領、「TRUMP」保有者との夕食会にて大統領印章使用で法的懸念＝報道ドナルド・トランプ（Donald Trump）米大統領が、自身の公式ミームコインの保有者を招いたイベントで大統領の印章を使用したことについて、連邦法違反の可能性が指摘されている

髙橋知里ニュース

パキスタン、ビットコインマイニングとAIデータセンターに2000MW割当、デジタル資産庁設立の承認もパキスタン財務省が、暗号資産（仮想通貨）ビットコインの採掘（マイニング）と人工知能（AI）データセンターに電力を供給する国家的な取り組みの第一段階として、2,000メガワット（MW）の電力を割り当てると5月25日に発表した

大津賀新也ニュース

「mETH」がカナダ上場企業の財務資産に、MantleとRepublic Technologies提携で Mantle（マントル）が、カナダの上場企業Beyond Medical Technologies（ビヨンドメディカルテクノロジーズ）によるイーサリアム（ETH）の財務部門子会社Republic Technologies（リパブリックテクノロジーズ）と戦略的提携したことを5月22日に発表した

大津賀新也ニュース

【5/23話題】SuiのDEX「Cetus」が約321億円相当のハッキング被害、クラーケンの米国株のトークン化資産「xStocks」など（音声ニュース）ブロックチェーン・仮想通貨（暗号資産）・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー（購読登録）して、日々の情報収集にお役立てください。

あたらしい経済ポッドキャスト Sponsored

米R3がSolanaと提携、企業向け「Corda」がパブリックチェーンと統合へエンタープライズ向けブロックチェーン「コルダ（Corda）」開発の米R3が、ソラナ財団（Solana Foundation）との戦略的提携を5月22日に発表した

大津賀新也ニュース

SuccinctがイーサリアムブロックのリアルタイムZK証明を実現、ヴィタリックがL1実装の課題指摘ゼロ知識証明（zero knowledge proof：ZKP）技術の開発企業「サクシンクト（Succinct）」が、イーサリアム（Ethereum）ブロックの90%以上を12秒以内でリアルタイム証明することに成功したと5月22日に発表した

田村聖次ニュース

前払式支払手段「JPYC Prepaid」が法令上の電子決済手段に、新規発行は停止に JPYC社が発行する前払式支払手段「JPY Coin Prepaid（JPYC Prepaid）」が、6月1日より日本円建て電子決済手段として取り扱われる。JPYC社が5月23日に発表した

大津賀新也ニュース

最新の記事をさらに見る >

免責事項：本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。

PoolX: 資産をロックして新しいトークンをゲット

最大12%のAPR！エアドロップを継続的に獲得しましょう！

今すぐロック