5月22日、Suiエコシステムの主要なDEXプロトコルCetusがハッキング攻撃を受け、プロトコルのコアコントラクトに脆弱性が発生し、攻撃者が大量の資産を不正に取得しました。この事件は短期間で広く注目を集め、関連するユーザーに影響を及ぼしただけでなく、複数のSuiプロジェクトを緊急対応状態に追い込みました。
しかし、その後に続いたのは、チェーンのロールバックやスーパーパーミッションの介入ではなく、バリデーターの投票、プロジェクトのアクティブシャットダウン、アセットのオンチェーン凍結、プロトコルの自己検査とアップグレードというクイックスタートでした...... このプロセス全体は、オンチェーンの金融セキュリティガバナンスの真の実践を構成しています。
この記事が執筆された時点で、このハッキング事件が発生してから既に5日が経過しています。この事件は広範な影響を及ぼし、「オンチェーンセキュリティ」、「分散型ガバナンス」、および「プロトコルの緊急対応」についてコミュニティ内で熱い議論を引き起こしました。
この記事は、今回実際に何が起こったのかを整理しようとしています。 責任はどこにあるのか? Suiのエコシステムはどのように反応しますか? このことから何を学ぶことができるでしょうか。
この攻撃は2025年5月22日の朝に行われ、CetusのCLMM流動性プールを標的にしました。 攻撃者はコントラクトの脆弱性を発見し、トランザクションの構築の助けを借りて、複数の操作ラウンドで資産を裁定取引しました。
具体的なプロセスは以下の通りです:
10:30 UTC頃、攻撃が始まりました。 ハッカーは、異常な取引を通じてプール価格を押し下げ、高価格エリアで流動性ポジションを開き、契約ロジックの抜け穴を悪用して、非常に少数のトークンで大量の「偽の」流動性を注入しました。
次に、ハッカーは「流動性の追加/削除」を繰り返し実行し、プールから実際の資産を引き出します。
攻撃は約20分間続き、一部の監視システムが警報を発し始めました。
攻撃から40分後
10:40 UTC、Cetusの監視システムがプールの挙動に異常を検知しました。
10:53 UTC、Cetusチームは攻撃の出所を確認し、その情報をSuiエコシステムの他のプロジェクトに通報しました。
10:57 UTC、Cetusは第一時間にコア流動性プールを閉鎖し、さらなる損失を防ぎました。
11:20 UTC、関連する契約を全面的に停止します。
この反応は早いが、ハッカーは大量の資金を盗んでしまった。
事件が拡大した後、エコシステムはより広範囲な緊急対応を開始しました:
Sui バリデーターはすぐにオンチェーンで協力し始め、ハッカーアドレスの取引をパッケージ化することを拒否するかどうか投票します。
33% のステーキングの閾値に達した後、ハッカーのアドレスは効果的に凍結され、取引はブロックチェーン上で処理を続けることができません。
これはシステムのロールバックでもなく、バックエンドの介入でもなく、バリデーターがコンセンサスメカニズムを通じて行った操作です。チェーンの状態は変更されておらず、ユーザーの取引は改ざんされておらず、すべては既存のチェーン上のルールに基づいて完了しています。
いわゆる「システムロールバック」とは、ブロックチェーンネットワーク全体の状態を攻撃前の特定の瞬間に戻すことを指します。 これは通常、すでに確認されたトランザクションが消去され、チェーンの履歴が書き換えられることを意味します。 「バックエンド介入」とは、中央集権的な機関(プロジェクト当事者や財団など)がノードや資金を直接制御し、通常のプロセスを迂回して処理上の決定を下すことを指します。
このイベントでは、これらの状況は発生しませんでした。検証者は公開投票と自主的な意思決定を通じて、オンチェーンのルールに基づいて凍結を実施しました。これはまさに分散型ガバナンスの表れです。
現在の資金状況はどうですか?
Cetusが発表したデータは以下の通りです:
ハッカーは約2.3億ドルの資産を盗みました;
そのうち1億6000万ドルの資産は、2つの凍結されたSuiアドレスにあり、移転することができません。
6000万ドルの資産がクロスチェーンでイーサリアムに移転されました。現在、追跡中の2つのアドレスが知られています。
協定は、資産の返還と補償をどのように行うかを決定するために、コミュニティ投票を促進しています。
なぜ問題が発生したのか?それはブロックチェーン自体の問題なのか、それともアプリケーション層の脆弱性の問題なのか?
SlowMistのレポートとテクニカルインフルエンサーの分析によると、彼らは皆同じ問題を指摘しています:インシデントの根本原因は、Cetusコントラクトで使用されているオープンソースコードロジックの問題です。 攻撃者は、データオーバーフローチェックに関連するアプリケーション層コントラクトのバグを悪用しました。これは、早期に発見および修正されていれば、損害を与えることはありませんでした。 したがって、これはMoveプログラミング言語自体の脆弱性ではありません。
同様に重要なことは、Suiネットワーク自体が攻撃を受けておらず、システミックリスクがなかったことです。
これは標準的な「プロトコルレイヤーのセキュリティ事件」であり、ブロックチェーンレイヤーのセキュリティ問題ではありません。
!
Cetusの閉鎖後、Suiの多くのプロジェクトがセキュリティ自己検査を実施し始め、Momentumプロトコルも攻撃が発生するとすぐにトランザクションを一時停止し、フルチェーンコード監査とリスクチェックを完了し、盗まれた資金が凍結された後に再開されたことを確認しました。
Suiエコシステムの現在のリーダーであるDexとして、Momentumプロトコルはできるだけ早く取引を停止し、Sui Foundationと協力して盗まれた資金をブロックし、ハッカーがDex取引を通じてより多くの取引資産アカウントに資金を拡散するのを防ぎました。 同時に、慎重な自己検証を行い、自己検証の結果が正しいことを確認し、盗まれた資金が隋財団によって正常に凍結されたことを確認した後、まず取引機能を回復しました。
実際に:
Cetusはコアの脆弱性修正を完了し、監査チームとコードを再確認しています;
ユーザー補償プランは策定中で、一部はエコシステムガバナンス提案の投票によって決定されます;
他のSuiプロジェクトも順次運用を再開しているか、安全強化を完了しています。
全体のエコシステムは停止せず、逆に出来事の後に安全メカニズムをより体系的に検証しました。
この事件は私たちに何を教えているのか?
今回、Cetusが攻撃され、すべてのビルダーとユーザーは再び現実の問題に直面しました:
契約の安全性は、結局何によって支えられているのか?
答えはますます明確になってきています:
分散化によってもたらされる集団的知恵であり、分散化を口実にして行動しないのではない。
継続的な体系的な投資に依存し、1回や2回の監査報告ではない;
日常の準備とメカニズムの構築に頼り、事後の救済だけではない;
各参加者が責任を持ち、積極的に行動することに依存し、「チェーン」や「技術」に問題を押し付けるのではない。
私たちは、ハッカーが実際に損失を生み出したが、システムを破壊しなかったことを見ました;
また、分散型はルールの背後で冷静に観察するのではなく、自発的に集結し、ラインを守り、ユーザーを保護することを意味します。
真の分散化はスローガンではなく、責任です。
この混乱の中で、救い主はいません。
Suiのバリデーターがリスクのある取引を投票して凍結しました。他のプロトコルは安全性の自己点検を完了し、一部は迅速に再稼働しました。ユーザーも引き続き注目し、改善を促しています。
分散化は放任ではなく、境界や原則、責任を持った協力です。
バックエンドのないシステムでは、信頼はすべてのコードの行、すべてのメカニズム、すべての決定によって支えられなければなりません。
今回の出来事は危機であり、試練でもあり、鏡でもあります。
それは私たちに教えてくれます:
分散化は目的ではなく、方法の一つであり、目的は信頼を構築することです。分散化がもたらすのは集団的知恵です。
分散化は確かに重要ですが、資金の効率性とプロトコルの安全性はさらに重要です。
289k 投稿
260k 投稿
170k 投稿
82k 投稿
68k 投稿
62k 投稿
53k 投稿
51k 投稿
Cetus がハッカーに攻撃された後:この騒動から私たちは何を見極めるべきか?
イントロダクション
5月22日、Suiエコシステムの主要なDEXプロトコルCetusがハッキング攻撃を受け、プロトコルのコアコントラクトに脆弱性が発生し、攻撃者が大量の資産を不正に取得しました。この事件は短期間で広く注目を集め、関連するユーザーに影響を及ぼしただけでなく、複数のSuiプロジェクトを緊急対応状態に追い込みました。
しかし、その後に続いたのは、チェーンのロールバックやスーパーパーミッションの介入ではなく、バリデーターの投票、プロジェクトのアクティブシャットダウン、アセットのオンチェーン凍結、プロトコルの自己検査とアップグレードというクイックスタートでした...... このプロセス全体は、オンチェーンの金融セキュリティガバナンスの真の実践を構成しています。
この記事が執筆された時点で、このハッキング事件が発生してから既に5日が経過しています。この事件は広範な影響を及ぼし、「オンチェーンセキュリティ」、「分散型ガバナンス」、および「プロトコルの緊急対応」についてコミュニティ内で熱い議論を引き起こしました。
この記事は、今回実際に何が起こったのかを整理しようとしています。 責任はどこにあるのか? Suiのエコシステムはどのように反応しますか? このことから何を学ぶことができるでしょうか。
攻撃はどのように発生しますか?
この攻撃は2025年5月22日の朝に行われ、CetusのCLMM流動性プールを標的にしました。 攻撃者はコントラクトの脆弱性を発見し、トランザクションの構築の助けを借りて、複数の操作ラウンドで資産を裁定取引しました。
具体的なプロセスは以下の通りです:
10:30 UTC頃、攻撃が始まりました。 ハッカーは、異常な取引を通じてプール価格を押し下げ、高価格エリアで流動性ポジションを開き、契約ロジックの抜け穴を悪用して、非常に少数のトークンで大量の「偽の」流動性を注入しました。
次に、ハッカーは「流動性の追加/削除」を繰り返し実行し、プールから実際の資産を引き出します。
攻撃は約20分間続き、一部の監視システムが警報を発し始めました。
攻撃から40分後
10:40 UTC、Cetusの監視システムがプールの挙動に異常を検知しました。
10:53 UTC、Cetusチームは攻撃の出所を確認し、その情報をSuiエコシステムの他のプロジェクトに通報しました。
10:57 UTC、Cetusは第一時間にコア流動性プールを閉鎖し、さらなる損失を防ぎました。
11:20 UTC、関連する契約を全面的に停止します。
この反応は早いが、ハッカーは大量の資金を盗んでしまった。
ハッカーの資金を凍結するのは、どうやってできるのですか?
事件が拡大した後、エコシステムはより広範囲な緊急対応を開始しました:
Sui バリデーターはすぐにオンチェーンで協力し始め、ハッカーアドレスの取引をパッケージ化することを拒否するかどうか投票します。
33% のステーキングの閾値に達した後、ハッカーのアドレスは効果的に凍結され、取引はブロックチェーン上で処理を続けることができません。
これはシステムのロールバックでもなく、バックエンドの介入でもなく、バリデーターがコンセンサスメカニズムを通じて行った操作です。チェーンの状態は変更されておらず、ユーザーの取引は改ざんされておらず、すべては既存のチェーン上のルールに基づいて完了しています。
いわゆる「システムロールバック」とは、ブロックチェーンネットワーク全体の状態を攻撃前の特定の瞬間に戻すことを指します。 これは通常、すでに確認されたトランザクションが消去され、チェーンの履歴が書き換えられることを意味します。 「バックエンド介入」とは、中央集権的な機関(プロジェクト当事者や財団など)がノードや資金を直接制御し、通常のプロセスを迂回して処理上の決定を下すことを指します。
このイベントでは、これらの状況は発生しませんでした。検証者は公開投票と自主的な意思決定を通じて、オンチェーンのルールに基づいて凍結を実施しました。これはまさに分散型ガバナンスの表れです。
現在の資金状況はどうですか?
Cetusが発表したデータは以下の通りです:
ハッカーは約2.3億ドルの資産を盗みました;
そのうち1億6000万ドルの資産は、2つの凍結されたSuiアドレスにあり、移転することができません。
6000万ドルの資産がクロスチェーンでイーサリアムに移転されました。現在、追跡中の2つのアドレスが知られています。
協定は、資産の返還と補償をどのように行うかを決定するために、コミュニティ投票を促進しています。
なぜ問題が発生したのか?それはブロックチェーン自体の問題なのか、それともアプリケーション層の脆弱性の問題なのか?
SlowMistのレポートとテクニカルインフルエンサーの分析によると、彼らは皆同じ問題を指摘しています:インシデントの根本原因は、Cetusコントラクトで使用されているオープンソースコードロジックの問題です。 攻撃者は、データオーバーフローチェックに関連するアプリケーション層コントラクトのバグを悪用しました。これは、早期に発見および修正されていれば、損害を与えることはありませんでした。 したがって、これはMoveプログラミング言語自体の脆弱性ではありません。
同様に重要なことは、Suiネットワーク自体が攻撃を受けておらず、システミックリスクがなかったことです。
これは標準的な「プロトコルレイヤーのセキュリティ事件」であり、ブロックチェーンレイヤーのセキュリティ問題ではありません。
!
攻撃が発生した後、Suiエコシステムの他のプロジェクトはどのように行動するのか?
Cetusの閉鎖後、Suiの多くのプロジェクトがセキュリティ自己検査を実施し始め、Momentumプロトコルも攻撃が発生するとすぐにトランザクションを一時停止し、フルチェーンコード監査とリスクチェックを完了し、盗まれた資金が凍結された後に再開されたことを確認しました。
Suiエコシステムの現在のリーダーであるDexとして、Momentumプロトコルはできるだけ早く取引を停止し、Sui Foundationと協力して盗まれた資金をブロックし、ハッカーがDex取引を通じてより多くの取引資産アカウントに資金を拡散するのを防ぎました。 同時に、慎重な自己検証を行い、自己検証の結果が正しいことを確認し、盗まれた資金が隋財団によって正常に凍結されたことを確認した後、まず取引機能を回復しました。
事件のその後はどうなっていますか?
実際に:
Cetusはコアの脆弱性修正を完了し、監査チームとコードを再確認しています;
ユーザー補償プランは策定中で、一部はエコシステムガバナンス提案の投票によって決定されます;
他のSuiプロジェクトも順次運用を再開しているか、安全強化を完了しています。
全体のエコシステムは停止せず、逆に出来事の後に安全メカニズムをより体系的に検証しました。
この事件は私たちに何を教えているのか?
今回、Cetusが攻撃され、すべてのビルダーとユーザーは再び現実の問題に直面しました:
契約の安全性は、結局何によって支えられているのか?
答えはますます明確になってきています:
分散化によってもたらされる集団的知恵であり、分散化を口実にして行動しないのではない。
継続的な体系的な投資に依存し、1回や2回の監査報告ではない;
日常の準備とメカニズムの構築に頼り、事後の救済だけではない;
各参加者が責任を持ち、積極的に行動することに依存し、「チェーン」や「技術」に問題を押し付けるのではない。
私たちは、ハッカーが実際に損失を生み出したが、システムを破壊しなかったことを見ました;
また、分散型はルールの背後で冷静に観察するのではなく、自発的に集結し、ラインを守り、ユーザーを保護することを意味します。
まとめ
真の分散化はスローガンではなく、責任です。
この混乱の中で、救い主はいません。
Suiのバリデーターがリスクのある取引を投票して凍結しました。他のプロトコルは安全性の自己点検を完了し、一部は迅速に再稼働しました。ユーザーも引き続き注目し、改善を促しています。
分散化は放任ではなく、境界や原則、責任を持った協力です。
バックエンドのないシステムでは、信頼はすべてのコードの行、すべてのメカニズム、すべての決定によって支えられなければなりません。
今回の出来事は危機であり、試練でもあり、鏡でもあります。
それは私たちに教えてくれます:
分散化は目的ではなく、方法の一つであり、目的は信頼を構築することです。分散化がもたらすのは集団的知恵です。
分散化は確かに重要ですが、資金の効率性とプロトコルの安全性はさらに重要です。