10月16日、Suiを拠点とするDeFiプロトコルTypus Financeにセキュリティ侵害が発生し、約$344万円の損失が発生した。同プロジェクトは公式にこのインシデントを認め、調査に協力してくれたSlowMistに感謝の意を表明した。攻撃シーケンスの分析この攻撃は、オラクルのアップデート・メカニズムにおける重大な脆弱性に起因していました。攻撃者はtypus_oracle/sources/oracle.moveコントラクト内のupdate_v2関数を通して価格データを操作した。セキュリティ上の欠陥は、権限検証ロジックに存在した。UpdateAuthorityオブジェクトには権限のホワイトリストが含まれていましたが、コントラクトはvector::contains関数呼び出しの結果を適切に検証していませんでした。これにより、意図されたアクセス制御メカニズムにもかかわらず、許可されていないユーザーがオラクルの価格を変更することができました。主な攻撃ステップ1.価格の操作：攻撃者はupdate_v2を呼び出し、オラクル・トークンの価格を651,548,270と1に設定するなど、人工的な価格を設定した。裁定取引の実行：攻撃者は、typus_perp/sources/tlp/lp_pool.moveのスワップ関数を通じて操作された価格を悪用した。取引プールはトークンの変換に定積式ではなくオラクル価格を利用し、攻撃者は1 SUIを60,000,000 XBTC（約0.6 BTC）と交換することができた。3.繰り返される搾取：攻撃者はupdate_v2攻撃を10回に分けて実行し、盗まれた資産をクロスチェーンブリッジを通じて迅速に送金した。資金の追跡：MistTrackの分析によると、盗まれた総資産は約$344万にのぼり、その内訳は588,357.9 SUI、1,604,034.7 USDC、0.6 xBTC、32.227 suiETHでした。攻撃者は様々なDeFiプラットフォームを通じてほとんどの資産をUSDCに変換し、14回の取引で約3,430,717 USDCをCircleのCCTPを通じてイーサリアムアドレスに送金した。その後、資金はCurveを通じて3,430,241.91 DAIに変換され、新しいアドレスに移動され、現在に至っています。セキュリティの推奨この事件は典型的なオラクル操作攻撃である。この脆弱性は、許可チェックを検証するための単純なassert文を実装することで防ぐことができた。Sui Move 権限制御の特徴Solidityと比較して、Sui Moveはより多くの組み込みアクセス制御と必須アクセス制御を組み込んでいます。この言語のオブジェクト指向モデルと線形型システムにより、排他的所有権が強制され、許可されていない変更を防ぐことができます。ManagerCapのようなケイパビリティオブジェクトを適切に実装することで、機密性の高い操作を効果的に保護できます。Sui Moveの強固なセキュリティ基盤にもかかわらず、このケースは、スマート・コントラクト開発における悪用を防ぐためには、厳格なコーディングの実践と包括的なセキュリティ監査が依然として不可欠であることを示している。