Setus on SUIへの攻撃の後、SUIについて包括的に理解しましょう。 この記事は、Aquarius CapitalとKlein Labsが共同で公開したもので、特にNAVI Protocol、Bucket Protocol、その他のエコロジカルプロジェクト、および研究プロセスにおける技術的な指導とサポートを提供してくれたComma3 Venturesに感謝します。 Sui Foundationは、ハッカーから凍結された1億6000万ドルをどのように解放しますか? (背景追加:Cetusハッキングの被害者はどう思っているのか?) Suiチームは、2つの重要な条件(TL)で「全額返済」へのコミットメントを要求しました。 DR 1.Cetusの脆弱性は、SUIまたはMove言語自体ではなく、コントラクトの実装に起因します:この攻撃の根本原因は、Cetusプロトコルの算術関数の境界チェックが欠落していることにあります。これは、マスクが広すぎることと変位オーバーフローによって引き起こされるロジックの脆弱性であり、これはSUIチェーンやMove言語のリソースセキュリティモデルとは関係ありません。 脆弱性は「1行の境界チェック」で修正でき、エコシステム全体のコアセキュリティに影響を与えることはありません。 2. SUIメカニズムの「合理的な中央集権化」は危機的状況で価値を示す:SUIはDPoSバリデータラウンドやブラックリスト凍結などの機能を中央集権化する傾向がわずかにありますが、これはCETUSインシデント対応で役立ちます:バリデーターは悪意のあるアドレスを拒否リストに迅速に同期し、関連トランザクションのパッケージ化を拒否し、1億6000万ドル以上の資金を即座に凍結します。 これは本質的に肯定的な「オンチェーン・ケインジアン主義」であり、効果的なマクロ制御は経済システムにおいて積極的な役割を果たしてきた。 3.技術的な安全性に関する考察と提案:数学と境界の検証:すべての主要な算術演算(変位、乗算、除算など)の上限と下限のアサーションを導入し、極値ファジングと形式検証を実行します。 さらに、監査と監視を強化する必要があります:一般的なコード監査に加えて、専門の数学的監査チームとリアルタイムのオンチェーントランザクション動作検出を追加して、異常な分割や大規模なフラッシュローンをできるだけ早く捕まえます。 4. 資金保証メカニズムの要約と提案:Cetus事件では、SUIとプロジェクトチームは効率的に協力して、1億6,000万米ドル以上の資金を凍結し、100%の補償計画を推進しました。これは、強力なオンチェーンレジリエンスとエコロジカルな責任を反映しています。 また、SUI財団は、セキュリティラインを強化するために、さらに1,000万ドルの監査資金を提供しました。 将来的には、オンチェーン追跡システム、コミュニティ構築のセキュリティツール、分散型保険などのメカニズムをさらに推進し、資金保護システムを改善することができます。 5. SUIエコシステムの多様化 SUIは、2年足らずで「新しいチェーン」から「ストロングエコロジー」への移行を迅速に実現し、ステーブルコイン、DEX、インフラストラクチャ、DePIN、ゲーム、その他のトラックをカバーする多様な生態学的領域を構築しました。 ステーブルコインの総規模は10億ドルを超え、DeFiモジュールに強固な流動性基盤を提供しました。 TVLは、世界で8位、取引活動で5位、非EVMネットワークで3位(ビットコインとSolanaに次ぐ)にランクされており、強力なユーザーエンゲージメントと資産没入感を示しています。 1. 攻撃の波及効果 2025年5月22日、SUIネットワーク上に展開されたAMMプロトコルのヘッドであるCetusがハッキングされ、「整数オーバーフロー問題」に関連するロジックの脆弱性を悪用して精密な操作が開始され、2億ドル以上の資産が失われました。 このインシデントは、今年これまでにDeFiスペースで最大のセキュリティインシデントの1つであるだけでなく、SUIメインネットの立ち上げ以来、最も破壊的なハッキングでもあります。 DefiLlamaのデータによると、SUIのフルチェーンTVLは攻撃当日に3億3,000万ドル以上急落し、Cetusプロトコル自体のロックアップ額は即座に84%蒸発して3,800万ドルになりました。 カスケードの影響を受けて、複数のSUI(Lofi、Sudeng、Squirtleなど)で人気のあるトークンは、わずか1時間で76%から97%に急落し、SUIの安全性と生態学的安定性に対する広範な懸念を引き起こしました。 しかし、この衝撃波の後、SUIエコシステムは強力な回復力と回復力を示しています。 Cetusのインシデントは、短期的には信頼性の変動をもたらしましたが、オンチェーンファンドとユーザー活動は持続的な減少を被っておらず、エコシステム全体が安全性、インフラストラクチャー建設、プロジェクト品質に注意を払うように促しています。 Klein Labsは、この攻撃の原因、SUIのノードコンセンサスメカニズム、MOVE言語のセキュリティ、およびSUIの生態学的発展に焦点を当て、まだ開発の初期段階にあるこのパブリックチェーンの現在の生態学的パターンを整理し、その将来の開発可能性を探ります。 2. Cetus事件の原因分析 2.1 攻撃実施プロセス Slow MistチームによるCetus攻撃の技術分析によると、ハッカーはプロトコルの主要な算術スピルオーバーの脆弱性を悪用し、フラッシュローン、正確な価格操作、契約の欠陥の助けを借りて、短期間で2億ドル以上のデジタル資産を盗むことに成功しました。 攻撃経路は、大きく分けて次の3つの段階に分けることができます:(1)フラッシュローンを開始し、価格を操作するハッカーは、最初に最大100億のhaSUIフラッシュローンの最大スリッページフラッシュ交換を使用して、多額のお金を貸し、価格操作を実行します。 フラッシュローンは、ユーザーが手数料のみで、高レバレッジ、低リスク、低コストで同じ取引で資金を借り入れ、返済することを可能にします。 ハッカーはこのメカニズムを使用して、市場価格を短時間で引き下げ、非常に狭い範囲で正確に制御しました。 その後、攻撃者は非常に狭い流動性ポジションを作成する準備をし、価格帯を最低価格の300,000(最大価格の300,200)と価格幅のわずか1.00496621%の間に正確に設定します。 上記の方法により、ハッカーは十分な数のトークンと巨大な流動性を使用して、haSUIの価格を操作することに成功しました。 その後、彼らは実際の価値を持たないいくつかのトークンを操作しました。 (2)流動性を追加する 攻撃者は狭い流動性ポジションを作成し、流動性を追加すると宣言しますが、checked_shlw機能の脆弱性により、最終的に1つのトークンのみが請求されます。 これは基本的に2つの理由によるものです:マスクの設定が広すぎる:流動性の巨大な上限に相当し、コントラクトでのユーザー入力の検証が役に立たない結果になります。 ハッカーは、入力が常にその上限を下回るように例外パラメータを設定することで、オーバーフロー検出を回避しました。 データ オーバーフローの切り捨て: 値 n << 64 に対してシフト操作を実行すると、シフトが uint256 データ型の有効ビット幅 (256 ビット) を超えたため、データの切り捨てが発生しました。 高いオーバーフローは自動的に破棄されるため、予想よりもはるかに低い結果が得られるため、システムは変換に必要な haSUI の量を過小評価します。 最終的な計算結果は約1未満ですが、切り上げられているため、最終的な計算は1に等しく、つまり、ハッカーは1トークンを追加するだけで巨大な流動性と交換できます。 (3)流動性を引き出す:フラッシュローンの返済を行い、莫大な利益を保持します。 最終的に、数億ドル相当のトークン資産が複数の流動性プールから吸い上げられました。 資金の損失は深刻で、攻撃により次の資産が盗まれました: 1,290万SUI(約5,400万ドル) 6,000万ドル USDC 490万ドル Haedal Staked SUI 1,950万ドル トイレ 他の世代...
294k 投稿
263k 投稿
172k 投稿
83k 投稿
69k 投稿
68k 投稿
63k 投稿
62k 投稿
53k 投稿
51k 投稿
ハッキング後の信仰の源:なぜSUIは依然として長期的な上昇の可能性を持っているのか?
Setus on SUIへの攻撃の後、SUIについて包括的に理解しましょう。 この記事は、Aquarius CapitalとKlein Labsが共同で公開したもので、特にNAVI Protocol、Bucket Protocol、その他のエコロジカルプロジェクト、および研究プロセスにおける技術的な指導とサポートを提供してくれたComma3 Venturesに感謝します。 Sui Foundationは、ハッカーから凍結された1億6000万ドルをどのように解放しますか? (背景追加:Cetusハッキングの被害者はどう思っているのか?) Suiチームは、2つの重要な条件(TL)で「全額返済」へのコミットメントを要求しました。 DR 1.Cetusの脆弱性は、SUIまたはMove言語自体ではなく、コントラクトの実装に起因します:この攻撃の根本原因は、Cetusプロトコルの算術関数の境界チェックが欠落していることにあります。これは、マスクが広すぎることと変位オーバーフローによって引き起こされるロジックの脆弱性であり、これはSUIチェーンやMove言語のリソースセキュリティモデルとは関係ありません。 脆弱性は「1行の境界チェック」で修正でき、エコシステム全体のコアセキュリティに影響を与えることはありません。 2. SUIメカニズムの「合理的な中央集権化」は危機的状況で価値を示す:SUIはDPoSバリデータラウンドやブラックリスト凍結などの機能を中央集権化する傾向がわずかにありますが、これはCETUSインシデント対応で役立ちます:バリデーターは悪意のあるアドレスを拒否リストに迅速に同期し、関連トランザクションのパッケージ化を拒否し、1億6000万ドル以上の資金を即座に凍結します。 これは本質的に肯定的な「オンチェーン・ケインジアン主義」であり、効果的なマクロ制御は経済システムにおいて積極的な役割を果たしてきた。 3.技術的な安全性に関する考察と提案:数学と境界の検証:すべての主要な算術演算(変位、乗算、除算など)の上限と下限のアサーションを導入し、極値ファジングと形式検証を実行します。 さらに、監査と監視を強化する必要があります:一般的なコード監査に加えて、専門の数学的監査チームとリアルタイムのオンチェーントランザクション動作検出を追加して、異常な分割や大規模なフラッシュローンをできるだけ早く捕まえます。 4. 資金保証メカニズムの要約と提案:Cetus事件では、SUIとプロジェクトチームは効率的に協力して、1億6,000万米ドル以上の資金を凍結し、100%の補償計画を推進しました。これは、強力なオンチェーンレジリエンスとエコロジカルな責任を反映しています。 また、SUI財団は、セキュリティラインを強化するために、さらに1,000万ドルの監査資金を提供しました。 将来的には、オンチェーン追跡システム、コミュニティ構築のセキュリティツール、分散型保険などのメカニズムをさらに推進し、資金保護システムを改善することができます。 5. SUIエコシステムの多様化 SUIは、2年足らずで「新しいチェーン」から「ストロングエコロジー」への移行を迅速に実現し、ステーブルコイン、DEX、インフラストラクチャ、DePIN、ゲーム、その他のトラックをカバーする多様な生態学的領域を構築しました。 ステーブルコインの総規模は10億ドルを超え、DeFiモジュールに強固な流動性基盤を提供しました。 TVLは、世界で8位、取引活動で5位、非EVMネットワークで3位(ビットコインとSolanaに次ぐ)にランクされており、強力なユーザーエンゲージメントと資産没入感を示しています。 1. 攻撃の波及効果 2025年5月22日、SUIネットワーク上に展開されたAMMプロトコルのヘッドであるCetusがハッキングされ、「整数オーバーフロー問題」に関連するロジックの脆弱性を悪用して精密な操作が開始され、2億ドル以上の資産が失われました。 このインシデントは、今年これまでにDeFiスペースで最大のセキュリティインシデントの1つであるだけでなく、SUIメインネットの立ち上げ以来、最も破壊的なハッキングでもあります。 DefiLlamaのデータによると、SUIのフルチェーンTVLは攻撃当日に3億3,000万ドル以上急落し、Cetusプロトコル自体のロックアップ額は即座に84%蒸発して3,800万ドルになりました。 カスケードの影響を受けて、複数のSUI(Lofi、Sudeng、Squirtleなど)で人気のあるトークンは、わずか1時間で76%から97%に急落し、SUIの安全性と生態学的安定性に対する広範な懸念を引き起こしました。 しかし、この衝撃波の後、SUIエコシステムは強力な回復力と回復力を示しています。 Cetusのインシデントは、短期的には信頼性の変動をもたらしましたが、オンチェーンファンドとユーザー活動は持続的な減少を被っておらず、エコシステム全体が安全性、インフラストラクチャー建設、プロジェクト品質に注意を払うように促しています。 Klein Labsは、この攻撃の原因、SUIのノードコンセンサスメカニズム、MOVE言語のセキュリティ、およびSUIの生態学的発展に焦点を当て、まだ開発の初期段階にあるこのパブリックチェーンの現在の生態学的パターンを整理し、その将来の開発可能性を探ります。 2. Cetus事件の原因分析 2.1 攻撃実施プロセス Slow MistチームによるCetus攻撃の技術分析によると、ハッカーはプロトコルの主要な算術スピルオーバーの脆弱性を悪用し、フラッシュローン、正確な価格操作、契約の欠陥の助けを借りて、短期間で2億ドル以上のデジタル資産を盗むことに成功しました。 攻撃経路は、大きく分けて次の3つの段階に分けることができます:(1)フラッシュローンを開始し、価格を操作するハッカーは、最初に最大100億のhaSUIフラッシュローンの最大スリッページフラッシュ交換を使用して、多額のお金を貸し、価格操作を実行します。 フラッシュローンは、ユーザーが手数料のみで、高レバレッジ、低リスク、低コストで同じ取引で資金を借り入れ、返済することを可能にします。 ハッカーはこのメカニズムを使用して、市場価格を短時間で引き下げ、非常に狭い範囲で正確に制御しました。 その後、攻撃者は非常に狭い流動性ポジションを作成する準備をし、価格帯を最低価格の300,000(最大価格の300,200)と価格幅のわずか1.00496621%の間に正確に設定します。 上記の方法により、ハッカーは十分な数のトークンと巨大な流動性を使用して、haSUIの価格を操作することに成功しました。 その後、彼らは実際の価値を持たないいくつかのトークンを操作しました。 (2)流動性を追加する 攻撃者は狭い流動性ポジションを作成し、流動性を追加すると宣言しますが、checked_shlw機能の脆弱性により、最終的に1つのトークンのみが請求されます。 これは基本的に2つの理由によるものです:マスクの設定が広すぎる:流動性の巨大な上限に相当し、コントラクトでのユーザー入力の検証が役に立たない結果になります。 ハッカーは、入力が常にその上限を下回るように例外パラメータを設定することで、オーバーフロー検出を回避しました。 データ オーバーフローの切り捨て: 値 n << 64 に対してシフト操作を実行すると、シフトが uint256 データ型の有効ビット幅 (256 ビット) を超えたため、データの切り捨てが発生しました。 高いオーバーフローは自動的に破棄されるため、予想よりもはるかに低い結果が得られるため、システムは変換に必要な haSUI の量を過小評価します。 最終的な計算結果は約1未満ですが、切り上げられているため、最終的な計算は1に等しく、つまり、ハッカーは1トークンを追加するだけで巨大な流動性と交換できます。 (3)流動性を引き出す:フラッシュローンの返済を行い、莫大な利益を保持します。 最終的に、数億ドル相当のトークン資産が複数の流動性プールから吸い上げられました。 資金の損失は深刻で、攻撃により次の資産が盗まれました: 1,290万SUI(約5,400万ドル) 6,000万ドル USDC 490万ドル Haedal Staked SUI 1,950万ドル トイレ 他の世代...