スイ系DEX「Cetus」で300億円超の流出、一部はETHに交換済

Suiネットワーク最大の分散型取引所Cetus Protocolで、オラクル操作により約319億円相当の暗号資産が流出した。

スイ（SUI）基盤の大手分散型取引所（DEX）のCetus Protocolは22日、不正アクセスにより約2億2,300万ドル（約320億円）相当の暗号資産（仮想通貨）の流出を発表した。

攻撃者はCetusのオラクルシステムを操作し、少額の流動性を注入することで内部の価格計算を歪めた。これにより、SUIやUSDコイン（USDC）といった仮想通貨の引き出しを実施した。

この事件を受け、CETUSトークンの価格は、過去24時間で20%以上の下落を見せている。

オラクルの脆弱性を突いた攻撃

Cetusは、独自のオンチェーン集中型流動性プールとPyth Networkとの統合によるデュアルオラクルシステムを採用していた。

今回の不正流出は、これらの価格データの検証における欠陥を突いたものだった。攻撃者は、価値の低いトークンを注入して流動性プールの内部状態を操作し、正規の資産を不正に引き出すことに成功した。

セキュリティ分析では、流動性の追加や削除に関連する機能、特にトークン比率の処理、丸め誤差、ゼロデシマルのトークン（小数点以下のないトークン）の扱いに脆弱性があった点が指摘されている。

事件後の動向

攻撃者のウォレット（0xe28b50）は、盗まれた資金を取引所やセカンダリーマーケットを通じて移動させ、追跡を逃れようとしている可能性がある。

すでに、盗んだ資金の一部をUSDCに変換後、イーサリアム（ETH）にブリッジおよびETHに交換しているという。

Cetus側は事態を把握後、速やかにスマートコントラクトを一時停止し、全ての取引業務を中断した。現在、スイ財団と協力して不正流出の詳細を調査中だ。

また、今回の事案は「ハッキング」ではなくオラクルシステムのバグであったと説明し、再発防止のためコアとなるスマートコントラクトの論理を見直す方針を示している。

さらに流出した資金のうち、約1億6,000万ドル（約230億円）は凍結されており、回収される見込みだ。

バイナンスのチャンポン・ジャオ元CEOは、Cetusへの支援を公に表明しており、仮想通貨業界全体でこうした事件の影響を軽減しようとする動きが見られる。

Kaiki Tsuchioka

2020年より暗号資産（仮想通貨）投資を開始。2021年より暗号資産の情報をブログ、メルマガなどで発信開始。2025年よりCryptoDnesに参画。