2025年5月22日に発生したCetusプロトコルの壊滅的なセキュリティ侵害により、Suiブロックチェーン上で運営している分散型取引所から約2億6千万ドルが流出し、今年最大のDeFi攻撃の一つとして注目を集め、新興ブロックチェーンネットワークが本当に非中央化されているのかという緊急の疑問を投げかけている。
この事件は、スマートコントラクトセキュリティおよびネットワークガバナンス構造における重要な脆弱性を露呈し、次世代ブロックチェーンプラットフォームへの投資家の信頼を再構築する可能性のある問題を指摘している。
Cetusプロトコルの搾取は、2025年における3番目に大きな分散型金融のハッキング事件を表しており、3月の3億4千万ドルのWormholeブリッジ攻撃と2月の2億8千5百万ドルのEuler Finance事件に続いている。このブリーチは、プロトコルのア 自動市場メーカーコントラクトの以前に未知だった脆弱性を悪用することで、複数の流動性プールを一度に標的にし、合計で8億ドル以上の価値がロックされた。
初期のフォレンジック分析によれば、この攻撃は洗練されたフラッシュローンの操作とリエントランシー攻撃を組み合わせて、プロトコルの標準的なセキュリティチェックを回避することで発生したことを示唆している。攻撃者は少なくとも12の異なる流動性プールから資金を吸い上げ、主にSUIトークン、USDC、ラップドビットコインといった高価値資産を標的にした。トランザクション記録によれば、この攻撃は47分間のウィンドウ内で一連の調整されたトランザクションを通じて実行され、攻撃者がプロトコルのアーキテクチャを深く理解していることを示している。
ブロックチェーンセキュリティ会社のCertiKは、この攻撃が、価格オラクルの操作とスマートコントラクトのロジックの欠陥を組み合わせた新しい攻撃ベクトルを利用したことを報告し、攻撃者が資産価値を人工的に膨らませた後に大規模な引き出しを実行することを可能にした。攻撃の洗練度が、高度なブロックチェーン開発者が関与していることを強く示唆しており、Suiの合consensus(コンセンサス)メカニズムとCetusプロトコルの特定の実装詳細に精通している。
緊急対応が非中央化の議論を引き起こす
Cetusプロトコルの緊急対応は、ハッキング発生から2時間以内にすべてのスマートコントラクト操作を停止する措置を強行し、Suiネットワークのガバナンス構造を巡る厳しい議論をさらに強化した。このプロトコルが一方的に操作を停止する能力は、追加の損失が1億5千万ドルに達するのを防ぐことに成功したが、変更不可能で停止不可な金融インフラを重視する分散型金融の基本原則に反しているとして批判されている。
緊急停止は、イーサリアムの90万以上のバリデーターに比べてSuiの127のアクティブなバリデーターから成るバリデーターネットワークを通じて実行された。この集中したバリデーション構造により迅速な意思決定が可能になったが、潜在的な単一障害点や調整された検閲能力についての懸念も生じた。批評家たちは、このような中央集権型コントロールメカニズムが、ブロックチェーン技術が約束するトラスレスな性質を根本的に損なうと主張している。
Suiネットワークの基盤チームは、Metaの元役員がリードし、Moveプログラミング言語を開発したが、ユーザー資金の保護のために必要な緊急措置であると擁護した。しかし、彼らの対応は伝統的な金融機関がアカウントを凍結し、トランザクションを巻き戻す能力と比較され、セキュリティと非中央化の間の緊張が続くブロックチェーン業界の挑戦を浮き彫りにしている。
技術的アーキテクチャは体系的な脆弱性を明らかに
Suiブロックチェーンのユニークなコンセンサスメカニズムである「ナーホエル-ブルシャーク」は、従来のブロックチェーンのブロックではなく、DAG(有向非巡回グラフ)構造を通じてトランザクションを処理する。この設計により、より高いスループットと低遅延が実現されているが、セキュリティ研究者がまだ発見している新しい攻撃面が生まれた。Cetusプロトコルの侵害は、コンセンサスメカニズムが関連トランザクションを検証する際のタイミングの不一致を悪用し、攻撃者が複数のトランザクションバッチにわたる状態変更を操作した。
セキュリティ会社Quantstampの分析により、攻撃がSuiのオブジェクト中心のデータモデルを活用したことが明らかになり、スマートコントラクトがアカウントバランスではなくプログラム化されたオブジェクトと対話する。この革新的なアプローチは、より柔軟なスマートコントラクトの相互作用を可能にする一方で、Cetusプロトコル開発者が適切に保護することに失敗した複雑性を導入した。攻撃は、従来のアクセス制御を回避する方法でオブジェクト所有権の移転を操作し、アカウントベースのブロックチェーンシステム用に設計されたセキュリティフレームワークのギャップを浮き彫りにした。
この事件は、Suiエコシステム全体で緊急セキュリティレビューを促し、少なくとも他の15のDeFiプロトコルが包括的なセキュリティ監査が完了するまで一時的に操業を停止している。主要なプロトコルであるTurbos Finance、Scallop Lend、Kriya DEXを含むプロトコルは、Cetusの悪用から得られた教訓を使ってセキュリティ会社が徹底的なコードレビューを行っている間、予防措置を講じている。
ガバナンス構造が集中的な監視を受ける
Suiネットワークのトークン配布の分析は、ネットワークの迅速な対応を可能にした可能性のある重大な集中化の懸念を明らかにしており、それはその非集中化の信頼性を損なっていると考えられる。Suiの開発の背後にいる会社であるMysten Labsは、総SUIトークン供給の約18%をコントロールしており、これに加えて初期投資家や開発チームのメンバーが追加で32%を保有している。このガバナンス権限の集中化により、迅速な意思決定が可能になっているが、多くのブロックチェーン支持者が重要と考える分散型ガバナンスの原則に矛盾している。
Sui Foundationのガバナンスフレームワークは、プロトコル変更を実装するために必要なバリデーターステークの単純過半数のみを要求しており、より確立されたネットワークで一般的なスーパー多数の要件よりもはるかに低い。この閾値は、Cetusの侵害時に緊急措置の迅速な実施を可能にしたが、相対的に少しの利害関係者の連合が潜在的にネットワークオペレーションを悪意ある目的で操作する可能性も示している。
コミュニティガバナンスの参与が限られており、最近のガバナンス提案に参加している一意のアドレスは、180,000を超えるアクティブなアドレスのうち2,400未満である。この低いエンゲージメント率は、ガバナンスの決定が実質的に資金力のあるバリデータや開発チームによってコントロールされていることを示唆しており、非中央化ガバナンスの主張の正当性についての疑問を提起している。
歴史的背景
Cetusプロトコル事件は、2025年のみにおいて分散型プロトコルから合計28億ドル超が流出した主要なDeFiの悪用の増加リストに加わった。しかし、EthereumやBinance Smart Chainといった確立されたネットワークを主に標的とした以前の事件とは異なり、この侵害は、改善された性能や拡張性を約束する新しいブロックチェーンアーキテクチャの特有な脆弱性を浮き彫りにした。
2016年のEthereum上でのDAOハックは、セキュリティ危機の際に劇的なネットワーク介入の前例を作り、盗まれた資金を回復するために論争のあるハードフォークを結果となった。しかしその事件は、数週間にわたるより広範な非中央集権型のコミュニティ議論を伴っており、Suiの迅速な中央集権的介入とは対照的である。Suiの介入の速度は、ユーザー資金を保護する一方で、より伝統的な企業の意思決定に近いガバナンス構造を示しており、非中央集権的合意とは異なる。
MITやスタンフォードの最新の学術研究は、ブロックチェーンの性能最適化と真の非中央集権化の間の逆相関を記録しており、Suiのような新しいネットワークが技術的な効率とガバナンスの非中央集権化との間で固有のトレードオフに直面する可能性があることを示唆している。Cetus事件は、これらの理論的懸念の実世界での検証を提供している。
市場への影響
Cetusプロトコルの侵害は、Suiエコシステム全体で即時の市場反応を引き起こし、事件の発表から24時間以内にSUIトークンは23%減少した。SuiベースのDeFiプロトコル全体の総ロック値は、投資家がセキュリティの明確化を待っている間に資金を引き上げ、12億ドルから8億9千万ドルに減少した。この影響は他の次世代のブロックチェーンネットワークにも広がり、AptosやSolanaのような同様のレイヤー1プラットフォームも同情売りの影響を受けた。
最近、Suiベースのプロジェクトへの割り当てを増やした機関投資家は、新しいブロックチェーンプラットフォームのリスクプロファイルを再評価し始めた。Suiの主要な投資家であるベンチャーキャピタル企業Andreessen Horowitzは、ネットワークの潜在能力に対する長期的な信頼を維持しながら、堅牢なセキュリティ慣行の重要性を強調した声明を発表した。しかし、いくつかの機関DeFiファンドは、包括的なセキュリティレビューまで一時的にSuiエコシステムプロジェクトへの新規投資をしていない。
この事件は、DeFiリスクをカバーする保険プロトコルにも影響を与えており、Nexus MutualとInsurAceはSuiベースのプロトコルカバレージの保険料を引き上げる一方で請求が増えている。保険の容量は、実験的なDeFiプロトコルをカバーする際のリスク-報酬プロファイルを再評価する保険会社によって、新しいブロックチェーンネットワークにおいてますます限られる可能性がある。
最終的な考え
Cetusプロトコルの侵害は、金融規制当局からの注目を集めており、彼らはすでにDeFiプロトコルを潜在的なシステミックリスクのために精査している。証券取引委員会の最近のDeFiプラットフォームに対する執行措置は、非中央集権型とされるプロトコルを中し、中央集権的なコントロールを可能にするガバナンス構造に部分的に焦点を当てている。Suiネットワークの迅速な介入能力は、このようなプラットフォームが伝統的な金融インフラストラクチャとして分類され、銀行規制の対象になるかどうかについて、さらなる規制の精査を招く可能性がある。
ヨーロッパ連合の規制当局は、Markets in Crypto-Assets(MiCA)規制を実施しており、規制の分類を決定する際にガバナンスの中央化を主要な要因としています。このCetus事件は、規制フレームワークの加速を促す可能性がある。
Content: 真に分散化されたプロトコルと、中央集権的な制御メカニズムを持つプロトコルを区別することは、次世代のブロックチェーンネットワークがそのガバナンスシステムをどのように構築するかに影響を与える可能性がある。
The Cetus Protocol breach represents a critical inflection point for the Sui ecosystem and broader blockchain industry's evolution. While the incident exposed significant vulnerabilities, it also demonstrated the practical challenges of balancing security, performance, and decentralization in next-generation blockchain networks. The community's response to addressing centralization concerns while maintaining security capabilities will likely influence the development trajectory of similar platforms.
Content: スイネットワークは、包括的なガバナンスレビューを計画しており、検証者要件の引き上げ、ガバナンストークンのより広範な配布、および緊急介入のための時間遅延の実施を含む提案を発表しました。しかし、スイが競合他社と区別されるパフォーマンスの利点を維持しながら、意味のある分散化を実現することは、複雑な技術的および経済的課題として残っています。