Sui(スイ)とAptos(アプトス)のブロックチェーン上で稼働するDEX(分散型取引所)「セタスプロトコル(Cetus Protocol)」が、6月8日午前3時(UTC)に運営を再開したと発表した。 同プロトコルは5月22日に2億2,300万ドル(約323億円)のハッキング被害を受けていたが、そこからわずか17日間での復旧を実現した。 このハッキングは、「セタス」のCLMM(集中流動性マーケットメイカー)プールが標的となった攻撃だった。攻撃者はCLMMが依存しているオープンソースライブラリの脆弱性を悪用し、大手プールから資産を流出させるとともに、大量のオンチェーンスワップを実行してプールの価格と残高を深刻に破綻させた。 ブロックチェーンセキュリティ企業スロウミスト(SlowMist)の分析によると、攻撃者は攻撃の2日前から準備を行い、ライブラリ内のchecked_shlw関数の欠陥を悪用して1トークンのコストで数十億相当の流動性を獲得した極めて巧妙な数学的攻撃だったという。なお攻撃はSui側のプールのみに影響し、Aptos側は無事だった。 事件発生後、セタスチームはバリデーターとコミュニティと協力してSui上の資産の回収投票を実施し、約1億6,200万ドル(約234億円)相当の資金回収に成功した。さらに同チームは約700万ドル(約10億円)の保有現金準備金すべてを投入し、Sui財団から3,000万USDCの専用ローンを確保して復旧資金とした。 影響を受けたプールの流動性回復率は85%から99%の範囲となり、残りの不足分については12ヶ月間の線形アンロックスケジュールでCETUSトークンによる補償が提供される。補償にはCETUS総供給量の15%が割り当てられ、このうち5%は再開時に即座に請求可能で、残り10%は今後12ヶ月間に毎月アンロックされる。 なお攻撃者はセタス側のホワイトハッカー提案を無視し、一部資産をEVMアドレスに移転してTornado Cash(トルネードキャッシュ)などのミキシングサービスを通じた資金洗浄を開始している。セタスは複数の管轄区域で法的手続きを開始しており、残りの資産回収と攻撃者の逮捕は時間の問題だと自信を示している。 今後セタスは包括的な監査の追加実施、リアルタイム監視システムのアップグレード、新たなホワイトハット報奨金プログラムの開始、製品開発の加速などを計画している。また同プロトコルは今回の再稼働を「再開ではなく再生」と位置づけ、より安全で強靭なDeFi(分散型金融)インフラの提供を目指すとしている。