Согласно техническому анализу инцидента атаки, опубликованному GoPlus 30 апреля, и официальному заявлению Aftermath Finance, платформа вечных контрактов Aftermath Finance в сети Sui была атакована 29 апреля; потери превысили 1,14 млн долларов. Проект объявил, что при поддержке Mysten Labs и Sui Foundation все пользователи получат полное возмещение.
Принцип атаки: кража ADMIN-права и уязвимость со знаком в комиссиях
Согласно техническому анализу GoPlus, атакующий, предположительно, похитил ADMIN-права функции add_integrator_config, после чего использовал уязвимость несоответствия знаков в функции calculate_taker_fees, многократно извлекая прибыль в виде токенов.
Согласно официальному заявлению Aftermath Finance, ключевой механизм, который был использован, — «комиссии за код сборки» (builder code fees), механизм, при котором часть комиссий за транзакции возвращается интеграционной фронтенд-части или сервису маршрутизации заказов. В заявлении отмечено, что контрактная логика «ошибочно позволяет задавать отрицательные комиссии за код сборки», и этот недостаток дизайна дает атакующему возможность настраивать значения комиссий ниже нуля, продолжая извлекать средства из протокола.
В заявлении Aftermath Finance говорится, что воздействие атаки ограничено только протоколом вечных контрактов; спотовая торговля, кросс-протокольные смарт-роутеры, производные инструменты afSUI для ликвидного стейкинга и AMM-пулы не пострадали и продолжают работать в штатном режиме. Aftermath Finance также подчеркнула, что эта атака не является проблемой безопасности самого языка Move.
Sui-кошелек, связанный с атакующим, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, был публично отслежен через блокчейн-эксплорер Suivision.
Ответ Aftermath Finance и план компенсации
Согласно публичному заявлению соучредителя Aftermath Finance airtx на платформе X, после того как произошла атака, команда Aftermath Finance приостановила вредоносные транзакции и совместно с ончейн-компанией по безопасности Blockaid в «операционной комнате» (war room) проводит восстановительные работы; Blockaid — ончейн-платформа по безопасности, которой доверяют MetaMask, Coinbase и другие популярные кошельки. Она отвечает за помощь в анализе векторов атаки и отслеживании кошелька атакующего.
Согласно последнему объявлению Aftermath Finance, при поддержке Mysten Labs и Sui Foundation все затронутые пользователи получат полное возмещение; Aftermath Finance заявляет, что в настоящее время продолжается работа по возврату средств.
Фон атаки на экосистему Sui DeFi
Согласно сообщениям отрасли, в апреле 2026 года в экосистеме Sui произошло несколько инцидентов безопасности подряд: хранилище Volo подверглось атаке с потерями около 3,5 млн долларов (около 60% уже возвращено); Scallop за два дня до атаки раскрыла уязвимость в флэш-кредите против использовавшегося sSUI бонусного смарт-контракта, потери составили 14,2 тыс. долларов.
Согласно отраслевой статистике, в апреле 2026 года общие потери из-за уязвимостей в DeFi превысили 606 млн долларов — один из самых тяжелых месяцев с февраля 2025 года; среди ключевых событий — уязвимость в Kelp DAO rsETH (2,92 млрд долларов), социально-инженерная атака Drift Protocol (142k долларов), а также эксплуатации уязвимостей в проектах Mantra Chain, Lista DAO и других.
Часто задаваемые вопросы
Когда произошел инцидент атаки Aftermath Finance и каковы технические причины?
Согласно техническому анализу GoPlus и официальному заявлению Aftermath Finance, атака произошла 29 апреля 2026 года. Атакующий использовал ADMIN-права функции add_integrator_config и уязвимость несоответствия знаков в функции calculate_taker_fees; путем задания отрицательных комиссий за код сборки было многократно извлечены токены. Потери подтверждены на уровне 1,14 млн долларов.
Как Aftermath Finance обеспечивает полное возмещение средств пользователей?
Согласно официальному заявлению Aftermath Finance, при поддержке Mysten Labs и Sui Foundation все затронутые пользователи получат полное возмещение; Aftermath Finance заявляет, что в настоящее время продолжается работа по возврату средств.
Связана ли эта атака с уязвимостью безопасности языка Sui Move?
Согласно официальному заявлению Aftermath Finance, эта атака не связана с проблемой безопасности самого языка Move; ее причиной является ошибка настройки комиссий в логике конкретного контрактного соглашения. Другие продукты, такие как спотовая торговля, ликвидный стейкинг afSUI и AMM-пулы, не пострадали.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Проект Phi для ончейн-идентификации прекратит работу 25 мая
По официальному заявлению, Phi — ончейн-проект идентификации — прекратит работу 25 мая. Сервис phi.box и связанные предложения будут закрыты, хотя токены PHI останутся доступными для торговли на Aerodrome. Команда сослалась на дефицит ресурсов после более ранних усилий по реорганизации, а также на то, что
GateNews45м назад
Tydro приостанавливает работу всех рынков 5 мая из-за проблемы с оракулом; средства пользователей в безопасности
По данным BlockBeats, Tydro — кредитный протокол в экосистеме Ink — приостановил все рынки 5 мая после сообщения об инциденте с оракулом третьей стороны. Команда подтвердила, что средства пользователей остаются в безопасности, и активно расследует
GateNews2ч назад
Гонконг впервые выдал две лицензии на стейблкоины! Денежно-кредитное управление раскрыло условия последующей выдачи: планомерное внедрение и строгий контроль количества
Банк Монетарного управления Гонконга (HKMA) впервые выдал лицензии на выпуск стейблкоинов HSBC и AnchorX (совместное предприятие Standard Chartered Hong Kong, Hong Kong Telecom и Anzi Group). Обе компании ориентируются на розничные платежи и корпоративные трансграничные расчеты; в середине и в конце года они запустят стейблкоины для разных сценариев. Ведомство заявило, что будет наблюдать за фактической работой и рисками, прежде чем решать вопрос о дополнительной выдаче лицензий, при этом количество будет строго контролироваться. Ожидается, что стейблкоины снизят затраты на трансграничные переводы, ускорят платежи, а в долгосрочной перспективе — с помощью AI обеспечат автоматизированные платежи с зачислением на уровне секунд.
ChainNewsAbmedia3ч назад
Tetra Trust запускает стейблкоин CADD с Shopify и Национальным банком Канады
Tetra Trust запустила CADD — новый стейблкоин, обеспеченный, в частности, Shopify и National Bank of Canada, а также другими партнёрами. Он предназначен для круглосуточного трансграничного клиринга и проведения институциональных операций в режиме реального времени. Цифровая валюта нацелена на институциональных пользователей, которые хотят заменить устаревшие пакетные расчёты
CryptoFrontier3ч назад
Aave пытается снять заморозку $73M ETH из-за эксплойта в Kelp DAO
Aave LLC подала в федеральный суд 1 мая экстренное ходатайство с просьбой снять наложенный судом арест примерно на $73 миллиона в ether, изъятых после взлома Kelp DAO 18 апреля. В ходатайстве утверждается, что временное владение украденными активами не равнозначно праву собственности. В документе оспариваются ограничения, которые препятствуют
CryptoFrontier4ч назад
