Sui上のDEXで約344万ドルの流出被害

スイ（Sui）ブロックチェーン上で無期限先物取引およびオプション取引を提供するタイパス・ファイナンス（Typus Finance）が、ハッキング攻撃を受け約344万ドル（約5億3,000万円）相当の資産が流出したことを10月15日に発表した。同社はユーザー保護のため、すべてのスマートコントラクト（自動実行プログラム）の稼働を一時停止している。

同プロジェクトが16日に公開したインシデント報告書によると、攻撃により流出した資産は約58万8,000SUI（約2億円）、約160万USDC ($1.00)（約2億4,800万円）、約0.6xBTC（約600万円）、約32suiETH（約200万円）に上るという。被害総額は約344万ドル（約5億3,000万円）相当と推定されている。攻撃は日本時間10月15日22時ごろに行われ、発覚後15分以内にすべての契約が停止された。

報告書では、今回の攻撃はオフチェーンから価格データをオンチェーンに反映する「オラクル」と呼ばれる仕組みに関連するコード上の欠落が原因だったと説明されている。具体的には、オラクルの価格を更新するプログラムに「権限を持たない人が操作していないかを確認する構文」が抜け落ちており、攻撃者はこの脆弱性を利用して任意の価格を送り込んだという。

このプログラムは2024年に導入されたもので、2025年5月に実施された外部監査では見落とされていたことも問題の一因だった。また監視サービスの警告設定も即時通知に対応していなかったという。

タイパスは攻撃を確認後、直ちに全コントラクトを停止しスイ財団（Sui Foundation）やセキュリティ企業ムーブビット（MoveBit）、スロウミスト（SlowMist）、ミステンラボ（Mysten Labs）などと連携して調査を開始し、捜査当局にも正式な報告を行った。

タイパスの発表によると、今回影響を受けたのは取引用の資金をまとめた流動性プールのみで、個人ウォレットや安全資金（SAFU）、オプション取引向けの資金保管庫（オプションボールト）に預けられた資金には影響がなかったという。またユーザーがポジションを保有する際の担保資産も別のコントラクトで管理されており、ユーザーの被害は確認されていない。

タイパスは今後、監査済みの新しいスマートコントラクトに切り替える予定で、流出した資金の追跡および流動性提供者への補償方針を検討中としている。

なお2025年5月には、スイ上の分散型取引所（DEX）「シータス（Cetus）」が約2億2,300万ドル（約321億円）のハッキング被害を受けた。また9月には、利回りインフラおよび利回り取引プラットフォームの「ネモ・プロトコル（Nemo Protocol）」でも約240万ドル（約3億5,000万円）相当のステーブルコインを盗まれる攻撃を受けている。

これら一連の事例は、スイ上のプロトコルに対して攻撃が増加している現状を示している。

URGENT SECURITY ANNOUNCEMENT

Approximately one hour ago, our TLP contract was exploited via an oracle vulnerability regarding a lack of authority checks.

To protect all users, ALL Typus smart contracts have been immediately PAUSED.

We are actively investigating with…

参考：タイパス
画像：iStocks/Peach_iStock

関連ニュース

• SuiのDEX「Cetus」、約321億円相当のハッキング被害。約234億円超を凍結と報告
• スイ財団、DEX「Cetus」ハッキング被害者へ資産返還へ
• スイ上のDeFi「ネモプロトコル」、240万ドルのエクスプロイト攻撃被害
• 北朝鮮関連ハッカーによる2025年の暗号資産窃盗額は20億ドル。被害額は過去最大に＝Elliptic報告
• 分散型取引所「GMX」でのハッキング被害、4,050万ドル相当の資産が返還される