【Suiの正念場】Cetusハッキング事件の全容と得られる教訓

こんにちは、Yohです。

2025年5月、Sui界隈に衝撃が走りました。

Suiの看板とも言えるDEX（分散型取引所）「Cetus」で大規模なハッキングが発生。

「DeFiではハッキングが起こるリスクがある」とはよく言われているものの、Suiチェーン上でこれほどのハッキング事件が起こったのは初めてのことです。

今回は、この通称「Cetus事件」でCetusとSuiは一体どうなったのか、その全貌とこの事件から得られる教訓について解説していきます。

Cetus事件の全容

まずは、Cetus事件の全容を見ていきましょう。

大きな流れはCetus Incident Report: May 22, 2025 Attack DisclosureやCetus Relaunch Incoming: Recovery Plan and the Road Aheadに載っていて、ここでもこれら2つをベースに解説しますが、Xでの動きも紹介しつつ、わかりやすくまとめました。

事件の流れは以下の通りです。

事件発生

2025年5月22日　19時30分、ハッカーによる攻撃が開始。

手口の詳細は省略しますが、原因としてはCetusプロトコルが流動性プールのスマートコントラクトに使用していた第三者提供の数学計算ライブラリに欠陥があったらしく、そこをハッカーに悪用されてしまったとのこと。

要は、Cetusのスマートコントラクトにバグがあったということです。

引用：Cetus Incident Report: May 22, 2025 Attack Disclosure

攻撃から13分後には、Cetusチームによって攻撃元が特定され、Suiエコシステムのメンバーへ報告が行われました。

しかし、この時点で被害額は約2億2300万ドル（約320億円）。

ほんの小さなバグが、歴史に残る大きなハッキングにつながってしまいました。

Suiバリデータによる迅速な対処

🚨ANNOUNCEMENT

As of earlier today, we have confirmed that an attacker has stolen approximately $223M from Cetus Protocol. We have took immediate action to lock our contract preventing further theft of funds.

$162M of the compromised funds have been successfully paused. We are…

— Cetus🐳 (@CetusProtocol) May 22, 2025

引用：CetusProtocol｜X

2025年5月22日　21時50分、この緊急事態を受けて、Suiにおける取引の検証・処理を担うバリデータは、攻撃者によるトランザクションの処理を拒否する投票を開始。

その結果、投票数はしきい値を超え、攻撃者のアドレスは事実上凍結されました。

これにより、奪われた約2億2300万ドルのうち、約1億6200万ドル（約72.6%）分の資金流出を阻止することに成功。

事件発生からここまでわずか3時間足らず。

Suiバリデータによる迅速な対処が功を奏し、資金回収への希望が生まれました。

（ただ、この対応は後に大きな論争を呼ぶことに…）

ハッカーとの交渉

大半の資金凍結には成功した一方、残りの盗難資金である約6000万ドルはハッカーによりETHへと変換されていました。

そこで2025年5月23日　3時4分、Cetusはハッカーに対してオンチェーンで交渉メッセージを送信。

大まかな内容は以下の通りです。

引用：Message form Cetus｜SuiVision

この後、ハッカーからの即時回答はなかったため、Cetusはハッカーの特定・逮捕に成功につながる情報提供に対して500万ドルの懸賞金を出すことを発表しています。

🔊UPDATE: We have not received any communication from the hacker. We encourage the hacker to sincerely consider our offer terms.

Simultaneously, with the support of Inca Digital and financial support from Sui Foundation, we are announcing a bounty of $5M for relevant information…

— Cetus🐳 (@CetusProtocol) May 23, 2025

引用：CetusProtocol｜X

凍結資金の返還に向けた投票

2025年5月24日、Cetusは凍結した盗難資金（約1億6200万ドル）の回収・返還に向けたプロトコルアップデートの是非をバリデータによるオンチェーン投票で決めることを提案します。

🚨 Dear Sui community,

We are working diligently together with Inca Digital, security and analytics providers, and law enforcement officials across the world to recover the $60M worth of stolen funds.

In parallel, we are asking the Sui community to support a protocol upgrade…

— Cetus🐳 (@CetusProtocol) May 23, 2025

引用：CetusProtocol｜X

これに対し、一部Cetusユーザーからは当初怒りの声が上がりました。

ユーザーからすれば「そもそもCetusが全面的に悪いし、その補償もCetusが総力を上げてやるべきなのに『凍結資金の一部をどうすべきか、Suiのみんなで決めてくれませんか』なんて何を言ってるんだ😡」というわけです。

これに加え、凍結資金の返還についてはSuiバリデータによる初動対応も含め、「分散性」がないがしろになる行為ではないのかという議論も巻き起こります（詳細は後述）。

一方、Sui公式は「投票から棄権すること」および「Cetusが資金の全額回収とその返還のために全ての財源を動員すること」を条件に、提案への賛成を表明しました。

On Wednesday, the Sui validator community acted quickly to freeze $162M of the stolen funds. Here’s how that happened:

– Each validator has a configuration file that allows it to ignore transactions from a specific address.

– Adding addresses to this file is at the discretion… https://t.co/pVLTItN0MH

— Sui (@SuiNetwork) May 23, 2025

引用：SuiNetwork｜X

こうして先行きが見えず、界隈に閉塞感が漂う中、2025年5月28日に朗報が入ります。

CetusがSui財団からの融資を受けたことで「投票が可決されればユーザー資金を100%補填できる目処がたった」と発表。

📢 New Progress Update – A Path Forward Together!

Since the incident, we have reflected deeply on the incident and its impact on our users, partners, and the broader ecosystem. We are deeply sorry and take this responsibility seriously. Today, we want to share a meaningful step…

— Cetus🐳 (@CetusProtocol) May 27, 2025

引用：CetusProtocol｜X

投票も同日2時から開始され、2日後の2025年5月30日には90.9%の「賛成」多数で早期可決。

• SIP 68: Revert locked wallet funds｜SuiVision

こうしてユーザーへの資金返還については一旦の道筋が立ちました。

そして、この記事の執筆日である2025年6月8日、Cetusは完全復旧しています。

CETUS IS BACK!
🌊🌊🌊🐳 pic.twitter.com/tyQ50VkEeg

— Cetus🐳 (@CetusProtocol) June 8, 2025

引用：CetusProtocol｜X

Cetusの今後

当然ながら、今回問題となった脆弱性についてはすでに修正済み。

Cetusとしては今後、次のような取り組みを行っていくそうです。

引用：Cetus Relaunch Incoming: Recovery Plan and the Road Ahead｜Medium

Sui公式からも、セキュリティの強化の一環として、バグ報奨金プログラムにおける増資が発表されました。

While our bug bounty today focuses on Sui core infrastructure and does not cover protocols, applications, or smart contracts built on it, we’re expanding it over the next six months to pay additional bounties for any protocol with more than $50M TVL, helping incentivize bounty…

— Sui (@SuiNetwork) May 27, 2025

引用：SuiNetwork｜X

ちなみに、今回の事件の引き金となったハッカーはというと、結局交渉には応じず、ロンダリングを行い始めたとのこと。

資金の回収に向け、Cetusは法執行機関の協力を得ながら追跡を継続していくそうです。

Cetus事件で生じた論争

Cetus事件を巡り、SNSでは主に次の2点で論争が生じました。

どちらも複雑に絡み合っている問題であることに加え、これから最適解を見つけていかなくてはならないもので、現時点でどの意見が正しい、あるいは間違っていると断定できるものではないでしょう。

ハッキングの責任を誰が取るのか？

今回ハッキングが起きた原因は、Suiのシステム構造そのものではなく、Cetus内のコードにありました。

したがって、悪いのは基本的にCetusであり、ユーザーへの補償も全てCetusが行うべきと考えるのが普通です。

しかし、今回の被害額は2億ドル超とあまりにも桁外れであり、これをCetusだけで補償するには現実的にもかなり難しいと言えます。

そして何より、CetusはSuiの顔とも言えるDEX。

Suiユーザー≒Cetusユーザーと言っても過言ではない規模の取引量・TVLを誇っていました。

そんなCetusをSui（財団）が何もせずに見捨て、結果としてCetusが消えた場合、多くのSuiユーザーは資金が戻らないことに落胆し、エコシステムから離れてしまうかもしれません。

これはさすがに今後のSuiにとっても大きな痛手なわけです。

こうした観点からすると、「Sui（財団）はCetusを助けるべき」と考えられます。

その一方、もしSui（財団）が全面的にCetusを助けてしまうと、「Suiエコシステムではハッキングが起きてもSui（財団）がきっと助けてくれるはず」という風潮ができる可能性があります。

Sui（財団）も無尽蔵に資金があるわけではないですし、そうした風潮ができてしまうと、各DeFiプロトコルが責任感のない開発・運営をしてしまうことにもなりかねません。

このような観点で見ると、「Sui（財団）はCetusを助けるべきではなく、それ以外の方法を用いてCetusだけで責任を取るべき」と考えることもできます。

結果的にSui（財団）は、Cetusに対して今回の事件への補填に必要な資金を融資することにしました。

今回の対応の是非については、引き続き議論が必要でしょう。

Suiにおける「分散性」とは何なのか？

今回の事件では、ハッカーのアドレスが特定された直後、バリデータが協力してそのアドレスからのトランザクションを受け付けないという形で、資金を凍結しました。

これにより、盗まれた資金の大半（約1億6000万ドル）を押収することに成功したため、Suiユーザーからは称賛の声が上がりました。

実際これがなければ、おそらくSui財団からの融資があったとしても、ユーザー資金の100%補償はできなかったでしょう。

しかし、こうした対応を見た一部のクリプト民からは「バリデータが恣意的に個人の資産を凍結して回収できるなら、それは分散性が確保されていないということではないのか」という批判が出ました。

何が言いたいのかというと、「個人の取引が運営主体のような存在に妨げられない（Web2的でない）ことこそがブロックチェーンの真骨頂なのに、それができるのはもはや本末転倒では？」ということです。

これは一理ある意見で、特にBitcoinをよく理解している人であれば「Suiは結構マズイことやってるな」と感じたはずです。

ですが、BitcoinとSuiはそもそも理念が異なります。

Bitcoinは「既存金融システムに対するアンチテーゼ」として存在しているのだとすれば、Suiは「Web3技術のマスアダプションを目指すプラットフォーム」だと言えます。

つまり、より多くのユーザーに使ってもらってなんぼなところがあるわけです。

実際、今回の事件では多くのSuiユーザーが被害にあっており、もし「分散性」を100%重視してしまうと、ユーザーは失望からエコシステムを離れてしまい、マスアダプションからは遠ざかることになります。

加えて今回は、Cetusの脆弱性を狙ったハッキングだとわかっているという前提があります。

正当な取引による資金調達でない以上、取引の妥当性（Validity）を検証するバリデータ（Validator）がハッカーの動きを封じることに一定の合理性はあると言えるでしょう。

今回の事件を踏まえ、「分散性」とは何か、どうあるべきなのか、改めて議論していく必要があります。

このセクションの最後に、Xで僕が一番共感したポストを載せておきます↓

What really matters now for Sui isn’t decentralization—it’s trust.

Not vague narratives. Not ideology. But real, tangible trust—from the people who actually matter.

1. Decentralization is a goal, not the starting point
Let’s be honest: the whole "decentralized vs centralized"… https://t.co/E9UMQegoLd

— damien.sui (@damiendotsui) May 24, 2025

引用：damiendotsui｜X

Cetus事件から得られる教訓

Cetus事件はSuiエコシステムにおける議題を残しただけでなく、私たちSuiユーザーにとっても重要な教訓を残しました。

これからのクリプトSui活をより楽しいものにするため、一度整理しておきましょう。

ハッキングはいつかどこかで必ず起こる

Sui Moveに関する記事で解説した通り、確かにSuiは他のチェーンに比べてコードバグが起こりにくい設計にはなっています。

• 【知識ゼロでもわかる】SuiのMove言語は何がすごいのか

しかし、実際にスマートコントラクトを作成するのが人間である以上、そこに100%ミスが生じないとは言い切れません。

こうしたミスをつくのがハッキングであり、結論として「ハッキングをゼロにはできない」ということになります。

DeFiを利用する際の注意点として、改めて認識しておくべきでしょう。

自分のリスク許容度を把握する

今回のCetus事件では、xCETUSやVaultなどでCetusに資金を入れて運用していたユーザーに大きな影響が出ました。

中には大金を突っ込んでいたせいで相当焦った方もいたのではないでしょうか？

これを良い機会として、自分のリスク許容度を改めて確認することをオススメします。

暗号資産を置いておく場所・運用先はいくつもありますが、それぞれにメリット・デメリット（リスク・リターン）があります。

自分のSui資産をどこにどれだけ置いておくのか、そしてどれだけのリスクを承知でそれを運用に回すのか。

どんな状況でも自分が納得できる配分・立ち回りを設定することが重要です。

【参考記事】

• 【OKCoinJapan】ステーキングでSUIを増やす方法
• 【ウォレット内で完結】SUIを直接ステーキングする方法を解説

Cetus事件はSuiの強化イベント

The DAO事件、FTX破綻

イーサリアム（ETH）もソラナ（SOL）も一度は市場で絶望される経験してるので、スイ（SUI）もそういう時が来ると思う

それを乗り越えたら間違いなくSuiは名実共に認められるブロックチェーンとして君臨するはず

開発、プロジェクト、コミュニティ全ての真価が問われますね https://t.co/lV6tyT582v

— Yoh@クリプトブロガー (@Yoh9801) February 25, 2024

引用：Yoh9801｜X

Cetus事件はSuiが経験した初めての大規模ハッキング事件であり、その被害額からして、クリプト業界全体で見ても指折りの大事件だと言えます。

依然としてCetusはハッカーと交渉を続けており、事件そのものは終結していません。

Cetusはもちろん、Suiもユーザーからの信頼回復に向け、今まで以上に努力していく必要があります。

しかし、今回の事件が残したのは決して負の側面ばかりではありません。

バリデータ達が迅速な判断を行い、盗まれた資産の大半の流出を止めたこと、バリデータによる投票とSuiからの融資を通じて、結果的にCetusがユーザーの資産を100%補償するに至ったことは、非常事態におけるSuiの対応力を示しました。

また、今回の事件により、Cetusに一極集中していた流動性やTVLが他のDeFiプロトコルにも分散化され、エコシステム全体としてはより健全な状態になりました。

セキュリティ対策や非常時の対応方法についてエコシステム全体で議論し考えていくための良い機会にもなったわけで、もはやCetus事件はSuiの強化イベントといっても過言ではないでしょう。

Suiが今回の事件を糧にどうレイヤー1の地位を高めていくのか、引き続き注目です！

その他のオススメ記事

• 【OKCoinJapan】ステーキングでSUIを増やす方法
• 【ウォレット内で完結】SUIを直接ステーキングする方法を解説