【要約】
・Sui DEX Cetus ハッキング事件が2025年5月22日に発生し、約2億〜2.6億ドル規模の暗号資産が流出
・攻撃者はCetusのスマートコントラクト脆弱性と価格オラクルのバグを悪用し、偽のトークンを使って流動性プールを枯渇させた可能性が高い
・ハッキングによりCetus上の複数トークンが暴落し、Suiエコシステム全体でも連鎖的にサービス停止が相次ぐ
・攻撃者は盗んだ資金を他チェーンにブリッジしてETHなどに換金中
・CetusチームとSui財団は原因究明と再発防止策の検討を進めており、ユーザー救済策にも注目が集まっている
ハッキング発生の経緯と被害規模
2025年5月22日未明(日本時間)に、Sui DEX Cetus ハッキング事件が突如として明るみに出ました。CetusはSuiブロックチェーン上で最大手の分散型取引所(DEX)兼流動性プロトコルとして広く利用されており、その影響力はエコシステム全体に及びます。今回の攻撃により複数の流動性プールが短時間で枯渇し、被害総額は推定2億〜2.6億ドル以上にのぼると報じられました。
ハッキング直後、Cetusのプラットフォーム上にあったトークンは急落し、SUIやUSDCを含む主要銘柄のプールが事実上機能停止する事態となりました。特に、Cetusで取引量が多かったミーム銘柄は価格が80〜90%以上暴落し、ユーザーは大幅な資産損失を被りました。
攻撃手法:価格オラクル操作の可能性
専門家の初期分析によると、今回のSui DEX Cetus ハッキング事件はCetusスマートコントラクトにおける価格算出ロジック(オラクル)の脆弱性を突いた「オラクル操作攻撃」である可能性が指摘されています。攻撃者は「偽トークン」を用い、フラッシュスワップ機能の不備を利用することで実際の価格とかけ離れたレートをCetus内部に生み出しました。
この手口によって、攻撃者はほぼ無価値のトークンを高額と誤認させ、本来なら担保として認められない資産をもとにSUIやUSDCなどの流動性を大量に引き出すことに成功したとみられます。計算精度の問題や価格更新のタイミングの甘さを突かれた可能性が高く、CetusチームもDiscord上で「オラクルのバグが原因」と認める発言を残しています。
連鎖する影響:Suiエコシステム全体に波及
CetusがSuiチェーン最大の流動性ソースだったことから、被害は瞬く間にエコシステム全体へ広がりました。Cetusと同様にSui上で稼働する他のDeFiプロジェクトは、自衛策として機能を一時停止するケースが相次いでいます。レンディングプロトコルや別のDEXも利用者保護のため取引停止を発表し、ユーザーが資金移動や貸借を行えない状態となりました。
また、ハッカーが盗んだ資産の一部をイーサリアムや他チェーンにブリッジし、ETHやUSDCなどに換金した動きが確認されています。これによってステーブルコイン発行元のCircle社や、主要取引所が凍結に動くかどうかが注目点となっていますが、大規模な追跡やブロックはまだ限定的とみられています。
開発チーム・コミュニティの対応
事件を受けてCetus運営は直ちにスマートコントラクトを停止し、追加被害の抑制に踏み切りました。その後、公式X(旧Twitter)アカウントを通じて「安全確保のための措置であり、原因調査を進めている」との緊急声明を発表。Sui財団や外部セキュリティ企業とも連携しながら、オラクルのバグ修正やシステム監査を急いでいる段階です。
被害を受けたユーザーへの補償・救済については、現時点で具体策は示されていません。Cetusが提供していた主要プールの枯渇被害は非常に大きく、ユーザーの損失総額は膨大です。過去には類似プロジェクトがハッカーとの交渉で一部資金を回収した例もありますが、Cetusが同様の対応を取るかは不透明です。コミュニティからは「Sui財団による支援プログラム」などを期待する声も出ています。
今後の見通しと再発防止策
今回のSui DEX Cetus ハッキング事件は、急成長中だったSuiエコシステムに大きな衝撃をもたらしました。しかし、問題はCetusのコントラクト設計上の欠陥であり、Suiブロックチェーン自体の根幹に致命的な脆弱性が発見されたわけではありません。よって、SuiのネイティブトークンであるSUI価格は大幅下落には至らず、一部市場参加者の買い支えも見られました。
Cetusチームは再開に向けて、価格オラクルの安全強化やフラッシュスワップ機能の設計修正、外部企業との連携による監査など、多面的なアップグレードを進めるとみられます。スマートコントラクト監査報告書が公開されることで、コミュニティの信頼回復を図れるかが焦点となるでしょう。ハッカーが保有する盗難資金の追跡と凍結、あるいは部分的な返還に向けた交渉も、今後の重要な課題です。
ニュースの解説
今回のSui DEX Cetus ハッキング事件は、ブロックチェーンの普及が進む中で依然としてスマートコントラクトのバグや設計不備が潜在的リスクとして残っていることを改めて示しました。流動性の高いDEXほど狙われやすい点、そして「オラクル操作攻撃」がいまだ効果的な手段である点が顕在化しています。
さらに、被害発生後の速やかなサービス停止やチェーン側の開発元との連携は、二次被害を抑える重要な対応でした。一方で、流出した巨額資金が複数のチェーンに拡散していく状況を見ると、ハッカーの洗浄手口は日々高度化しているといえます。
DeFi利用者は、高APR(利回り)が提示されるプールほどリスクが高い可能性を再認識し、預け入れ先のスマートコントラクト監査状況や保険制度の有無などを慎重に確認する必要があります。開発者側も、価格オラクルの設計見直しや外部監査の徹底、バグバウンティプログラムの強化を通じて、利用者の信頼をいかに回復していくかが問われるでしょう。
