D’après l’analyse technique de l’incident d’attaque publiée par GoPlus le 30 avril et la déclaration officielle d’Aftermath Finance, la plateforme de contrats à terme perpétuels sur la chaîne Sui, Aftermath Finance, a été attaquée le 29 avril, avec des pertes dépassant 1,14 million de dollars. Le projet a annoncé que, grâce au soutien de Mysten Labs et de la Sui Foundation, tous les utilisateurs seront intégralement indemnisés.
Principe de l’attaque : utilisation frauduleuse des droits ADMIN et faille relative aux signes de frais
D’après l’analyse technique de GoPlus, l’attaquant aurait détourné les droits ADMIN de la fonction add_integrator_config, puis aurait exploité une faille de non-concordance des signes dans la fonction calculate_taker_fees, afin de procéder à des extractions répétées de bénéfices en jetons.
D’après la déclaration officielle d’Aftermath Finance, le mécanisme central exploité est celui des « frais de code de construction » (builder code fees) — un mécanisme qui reverse une partie des frais de transaction à l’avant-front intégrateur ou au service d’acheminement des ordres. La déclaration indique que la logique du contrat « autorise à tort la configuration de builder code fees négatifs ». Cette faille de conception permet à l’attaquant de configurer des frais inférieurs à zéro, ce qui lui permet d’extraire continuellement des fonds du protocole.
Dans sa déclaration, Aftermath Finance précise que l’impact ne concerne que le protocole de contrats à terme perpétuels. Les transactions au comptant, les routeurs intelligents inter-protocoles, les produits dérivés de liquidité staking afSUI ainsi que les pools AMM n’ont pas été affectés et continuent de fonctionner normalement. Aftermath Finance souligne également que cette attaque ne constitue pas un problème de sécurité lié au langage Move lui-même.
L’adresse du portefeuille Sui associée à l’attaquant, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, a été suivie publiquement via le navigateur de blocs Suivision.
Réponse d’Aftermath Finance et plan d’indemnisation
D’après la déclaration publique de airtx, cofondateur d’Aftermath Finance, sur la plateforme X, après l’incident, l’équipe d’Aftermath Finance a mis en pause les transactions malveillantes et a travaillé conjointement avec la société de sécurité on-chain Blockaid dans le « war room » afin de procéder à la récupération ; Blockaid est une plateforme de sécurité on-chain de confiance pour MetaMask, Coinbase et d’autres portefeuilles grand public, et elle est chargée d’aider à analyser les vecteurs d’attaque et à suivre les portefeuilles des attaquants.
D’après l’annonce la plus récente d’Aftermath Finance, avec le soutien de Mysten Labs et de la Sui Foundation, tous les utilisateurs touchés seront indemnisés intégralement ; Aftermath Finance indique que des opérations de récupération des fonds se poursuivent actuellement.
Contexte : attaques dans l’écosystème Sui DeFi
D’après les informations relayées par le secteur, en avril 2026, plusieurs incidents de sécurité ont frappé l’écosystème Sui : le coffre Volo a été attaqué, avec des pertes d’environ 3,5 millions de dollars (près de 60 % déjà récupérés) ; Scallop a divulgué deux jours avant l’attaque une faille de flash loan portant sur des contrats de récompenses sSUI désormais abandonnés, entraînant une perte de 14,2 millions de dollars.
D’après les statistiques du secteur, les pertes totales dues aux failles dans la DeFi en avril 2026 ont dépassé 6,06 milliards de dollars, ce qui en fait l’un des mois les plus graves depuis février 2025. Parmi les principaux incidents figurent la faille du Kelp DAO rsETH (2,92 milliards de dollars), l’attaque d’ingénierie sociale du Drift Protocol (2,85 milliards de dollars) et l’exploitation de failles dans des projets tels que Mantra Chain et Lista DAO.
Questions fréquentes
À quel moment l’attaque d’Aftermath Finance a-t-elle eu lieu et quelle en est la cause technique ?
D’après l’analyse technique de GoPlus et la déclaration officielle d’Aftermath Finance, l’attaque a eu lieu le 29 avril 2026. L’attaquant a exploité les droits ADMIN de la fonction add_integrator_config ainsi que la faille de non-concordance des signes dans la fonction calculate_taker_fees, en confirmant que la configuration de frais de code de construction négatifs a permis une extraction répétée de jetons. Les pertes s’élèvent à 1,14 million de dollars.
Comment Aftermath Finance garantit-elle que les fonds des utilisateurs seront intégralement indemnisés ?
D’après la déclaration officielle d’Aftermath Finance, avec le soutien de Mysten Labs et de la Sui Foundation, tous les utilisateurs touchés seront indemnisés intégralement ; Aftermath Finance indique que les opérations de récupération des fonds se poursuivent actuellement.
Cette attaque implique-t-elle une faille de sécurité du langage Sui Move ?
D’après la déclaration officielle d’Aftermath Finance, cette attaque ne résulte pas d’un problème de sécurité du langage Move lui-même, mais d’une erreur de configuration des frais dans la logique de contrats spécifiques. Les autres produits, comme les transactions au comptant, le staking de liquidité afSUI et les pools AMM, n’ont pas été affectés.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Visa étend le pilote de stablecoin à 9 blockchains et atteint un rythme de règlement annualisé de $7B
Visa a étendu son pilote de règlement de stablecoins à neuf blockchains, dont Polygon, Base, Canton Network, Arc et Tempo, aux côtés des réseaux précédemment pris en charge tels que Ethereum, Solana, Avalanche et Stellar. Le programme a atteint un taux d’exécution annualisé de 7 milliards de dollars, représentant 50%
GateNewsIl y a 35m
PayPal réorganise trois grandes divisions d’activité, la cryptomonnaie et PYUSD figurent comme départements centraux
PayPal a officiellement annoncé le 30 avril une restructuration stratégique, simplifiant son organisation en trois grands volets : les solutions de paiement et PayPal, les services de financement aux consommateurs et Venmo, ainsi que les services de paiement et les cryptomonnaies. Dans ce cadre, le volet des services de paiement et des cryptomonnaies a été constitué séparément, en intégrant Braintree, le traitement pour les PME, les services à valeur ajoutée et les activités liées aux cryptomonnaies (y compris la stablecoin PYUSD).
MarketWhisperIl y a 52m
OKX lance le protocole de paiements par agents pour les cycles d’activité liés à l’IA
L’exchange crypto OKX a présenté son protocole de paiements par agents (APP) mercredi, le positionnant comme une norme ouverte pour des paiements agentiques conçus pour prendre en charge des cycles commerciaux complets pour les agents IA. L’annonce fait suite à des offres similaires, dont x402, un protocole ouvert incubé par Coinbase, et
CryptoFrontierIl y a 1h
Kite lance le déploiement du réseau principal, avec la mise en place d'un contrôle des paiements pour les autorisations d'AI Agent
Selon l’annonce officielle de Kite, l’infrastructure de paiement Kite, dédiée à l’économie des AI Agent, a lancé son mainnet le 30 avril. Pendant la période de lancement du mainnet, Kite Treasury prend en charge les frais de réseau, de sorte que les utilisateurs n’aient rien à gérer côté gas. Kite ouvre aussi au public Kite Agent Passport, qui sert de couche d’autorisation et de contrôle des paiements pour les agents.
MarketWhisperIl y a 2h
Pump.fun lance une fonctionnalité de pièces caritatives le 30 avril, permettant des dons directs des frais de créateur à plus de 10 000 organisations caritatives certifiées
D’après SolanaFloor, Pump.fun a lancé la fonctionnalité Charity Coins en partenariat avec Donate le 30 avril, permettant aux créateurs de diriger les frais de créateur de meme coin vers plus de 10 000 organismes de bienfaisance certifiés. Cette fonctionnalité vise à réduire les risques fiscaux, à minimiser la fraude et à garantir la conformité des dons et
GateNewsIl y a 2h
Sky Protocol atteint un record de 123,79 millions de dollars de revenus au T1, en hausse de 28,9% d’une année sur l’autre
Selon la Sky Frontier Foundation, le revenu trimestriel du protocole Sky a atteint 123,79 millions de dollars au T1 2026, en hausse de 28,9% d’une année sur l’autre et de 56,8% d’un trimestre sur l’autre, établissant un record pour le protocole. L’excédent net s’est élevé à 46,04 millions de dollars, soit 92,4% de l’excédent net de 2025 sur l’ensemble de l’année.
Protocole
GateNewsIl y a 2h
