Berdasarkan analisis teknis insiden serangan yang dirilis GoPlus pada 30 April dan pernyataan resmi Aftermath Finance, platform perpetual contract Aftermath Finance di jaringan Sui diserang pada 29 April, mengalami kerugian lebih dari 1,14 juta dolar AS. Pihak proyek mengumumkan bahwa dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna akan mendapatkan kompensasi penuh.
Prinsip serangan: ADMIN disalahgunakan dan celah pada tanda biaya
Berdasarkan analisis teknis GoPlus, pelaku diduga menyalahgunakan hak ADMIN dari fungsi add_integrator_config, lalu memanfaatkan celah ketidaksesuaian tanda pada fungsi calculate_taker_fees untuk berkali-kali menarik keuntungan berupa token.
Berdasarkan pernyataan resmi Aftermath Finance, mekanisme inti yang dieksploitasi adalah “builder code fees” — sebuah mekanisme yang memberikan sebagian biaya transaksi sebagai imbal balik kepada integrator front-end atau layanan routing order; pernyataan tersebut menyebutkan logika kontrak “secara keliru mengizinkan pengaturan builder code fees bernilai negatif”, dan kekurangan desain ini memungkinkan penyerang mengonfigurasi nilai biaya di bawah nol, sehingga secara terus-menerus dapat menarik dana dari protokol.
Aftermath Finance menyatakan bahwa cakupan dampak serangan hanya terbatas pada protokol perpetual contract; perdagangan spot, smart router lintas-protokol, produk turunan afSUI liquid staking, dan pool AMM tidak terdampak, serta tetap beroperasi normal. Aftermath Finance juga menekankan bahwa serangan ini bukan masalah keamanan dari bahasa Move itu sendiri.
Alamat dompet Sui yang terkait dengan penyerang, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, telah ditelusuri secara terbuka melalui penjelajah blok Sui Suivision.
Respons Aftermath Finance dan skema kompensasi
Berdasarkan pernyataan publik airtx, co-founder Aftermath Finance, di platform X, setelah serangan terjadi, tim Aftermath Finance telah menghentikan transaksi berbahaya, dan bersama perusahaan keamanan on-chain Blockaid melakukan pekerjaan pemulihan di “war room”; Blockaid adalah platform keamanan on-chain yang dipercaya oleh MetaMask, Coinbase, dan dompet utama lainnya, bertugas membantu analisis vektor serangan serta pelacakan dompet penyerang.
Berdasarkan pengumuman terbaru Aftermath Finance, dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna yang terdampak akan mendapatkan kompensasi penuh; Aftermath Finance menyatakan bahwa pihaknya saat ini terus melakukan pekerjaan penelusuran dan pengembalian dana.
Latar belakang serangan ekosistem Sui DeFi
Menurut laporan industri, pada April 2026 ekosistem Sui mengalami beberapa insiden keamanan berturut-turut: brankas Volo diserang dengan kerugian sekitar 3,5 juta dolar AS (sekitar 60% sudah berhasil dipulihkan); Scallop, dua hari sebelum serangan terjadi, mengungkap celah flash loan yang menargetkan kontrak reward sSUI yang sudah ditinggalkan, dengan kerugian 142 ribu dolar AS.
Menurut statistik industri, kerugian akibat kebocoran di DeFi secara keseluruhan pada April 2026 telah melampaui 606 juta dolar AS, menjadi salah satu bulan paling parah sejak Februari 2025. Peristiwa utama termasuk celah Kelp DAO rsETH (292 juta dolar AS), serangan social engineering terhadap Drift Protocol (285 juta dolar AS), serta pemanfaatan celah pada proyek seperti Mantra Chain dan Lista DAO.
Pertanyaan yang sering diajukan
Kapan dan apa penyebab teknis insiden serangan Aftermath Finance?
Berdasarkan analisis teknis GoPlus dan pernyataan resmi Aftermath Finance, serangan terjadi pada 29 April 2026. Pelaku memanfaatkan hak ADMIN dari fungsi add_integrator_config serta celah ketidaksesuaian tanda pada fungsi calculate_taker_fees, dengan mengatur builder code fees bernilai negatif untuk menarik token berulang kali, hingga memastikan kerugian sebesar 1,14 juta dolar AS.
Bagaimana Aftermath Finance memastikan dana pengguna mendapat kompensasi penuh?
Berdasarkan pernyataan resmi Aftermath Finance, dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna yang terdampak akan mendapatkan kompensasi penuh; Aftermath Finance menyatakan bahwa pihaknya saat ini terus melakukan pekerjaan penelusuran dan pengembalian dana.
Apakah serangan ini melibatkan celah keamanan pada bahasa Sui Move?
Berdasarkan pernyataan resmi Aftermath Finance, serangan ini bukan masalah keamanan dari bahasa kontrak Move itu sendiri, melainkan disebabkan kesalahan konfigurasi biaya pada logika kontrak protokol tertentu. Perdagangan spot, afSUI liquid staking, dan pool AMM serta produk lain tidak terdampak.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Western Union Meluncurkan Stablecoin USDPT di Solana pada 4 Mei
Menurut Businesswire, Western Union meluncurkan USDPT, stablecoin berbasis dolar yang didukung aset dolar, di Solana, pada 4 Mei. Stablecoin ini diterbitkan oleh Anchorage Digital Bank dan didukung oleh cadangan dolar AS 1:1. USDPT akan diintegrasikan ke dalam sistem pembayaran global Western Union untuk berfungsi sebagai lapisan penyelesaian untuk c
GateNews2jam yang lalu
Pi Network Meluncurkan Upgrade Protocol 23 pada 15 Mei, Membuka Kunci 184,5 Juta Token PI
Menurut Nghien Crypto, Pi Network sedang meluncurkan peningkatan Protokol 23 dengan batas waktu 15 Mei, mengaktifkan smart contract dan PiDex (DEX asli) di jaringan. Pembaruan ini memperkenalkan Launchpad untuk peluncuran token dan penilaian token anti-spam. Semua node mainnet harus melakukan upgrade agar tetap
GateNews6jam yang lalu
Exodus Movement Memegang $46,7 Juta dalam BTC dan ETH, $74,4 Juta dalam Kas per Kuartal 1 2026
Menurut PANews, Exodus Movement (NYSE American: EXOD) merilis laporan pendapatan pendahuluan Q1 2026 pada 4 Mei, dengan melaporkan pendapatan sekitar $22,7 juta, turun 36,9% secara tahunan. Platform kripto self-custody tersebut memiliki aset digital senilai $46,7 juta, terdiri dari 628 Bitcoin ($42,8 juta) a
GateNews7jam yang lalu
Protokol Identitas On-Chain Phi Resmi Ditutup pada 25 Mei
Menurut PANews, protokol identitas on-chain Phi mengumumkan pada 4 Mei bahwa pihaknya akan menutup platform phi.box dan layanan terkait pada 25 Mei 2026. Pengguna harus menyelesaikan klaim reward, menarik aset yang di-stake, dan mengatur NFT sebelum batas waktu tersebut. Token tata kelola $PHI akan tetap berada di rantai dan
GateNews7jam yang lalu
Pengguna Wasabi Protocol Kini Bisa Menarik Dana Tersisa dengan Aman
Menurut Wasabi Protocol, pengguna sekarang dapat berinteraksi dengan aman dengan kontrak pintar protokol untuk menarik dana yang tersisa. Tim tersebut mengatakan bahwa mereka terus menyelidiki insiden keamanan dan akan membagikan pembaruan lebih lanjut kepada komunitas segera setelah kondisi
GateNews12jam yang lalu
Bisq Protocol Diserang, 11 BTC Dicuri pada 4 Mei; Rencana Kompensasi Di bawah Pemungutan Suara DAO
Menurut Bisq, protokol tersebut diserang pada 4 Mei akibat tidak adanya mekanisme verifikasi, sehingga sekitar 11 BTC dicuri, terutama dari transaksi altcoin. Platform ini membahas opsi kompensasi bagi pengguna yang terdampak, yang dapat memilih penggantian dalam Bitcoin atau token BSQ p
GateNews13jam yang lalu
