Відповідно до технічного аналізу події атаки та офіційної заяви Aftermath Finance, оприлюднених GoPlus 30 квітня, на платформу для вічних контрактів Aftermath Finance у мережі Sui 29 квітня було здійснено атаку, внаслідок якої проєкт зазнав збитків понад 114 тис. доларів. У відповідь команда проєкту оголосила, що за підтримки Mysten Labs і Фонду Sui всі користувачі отримають повне відшкодування.
Принцип атаки: викрадення ADMIN-доступу та вразливість із символами у комісіях
Згідно з технічним аналізом GoPlus, атакувальник, ймовірно, викрав права ADMIN функції add_integrator_config, а потім скористався вразливістю невідповідності символів у функції calculate_taker_fees, повторювано витягуючи кошти.
В офіційній заяві Aftermath Finance зазначено, що ключовим механізмом, який було використано, є «комісії за код білдера» (builder code fees) — механізм, який передбачає повернення частини транзакційних комісій інтеграційному фронтенду або сервісу роутингу замовлень. У заяві вказано, що контрактна логіка «помилково дозволяє встановлювати від’ємні комісії за код білдера», і цей недолік дизайну дав атакувальнику змогу налаштовувати значення комісій нижче нуля, щоб безперервно витягувати кошти з протоколу.
Aftermath Finance пояснює, що вплив атаки обмежується лише протоколом вічних контрактів; спотові угоди, крос-протокольний смарт-роутер, похідні продукти afSUI для ліквідного стейкінгу та пули AMM не постраждали і продовжують працювати в штатному режимі. Aftermath Finance також підкреслює, що ця атака не є проблемою безпеки саме мови Move.
Адреса гаманця Sui, пов’язана з атакувальником, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, наразі відстежується публічно через блокчейн-експлорер Suivision.
Відповідь Aftermath Finance та план компенсацій
Згідно з публічною заявою співзасновника Aftermath Finance airtx у X, після того як сталася атака, команда Aftermath Finance призупинила шкідливі транзакції та разом із блокчейн-компанією з безпеки Blockaid працювала над відновленням у «war room»; Blockaid — це ончейн-платформа безпеки, якій довіряють MetaMask, Coinbase та інші провідні гаманці, вона відповідає за допомогу в аналізі векторів атаки та відстеженні гаманця атакувальника.
Відповідно до останнього оголошення Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.
Передісторія атак в екосистемі Sui DeFi
Згідно з повідомленнями в галузі, у квітні 2026 року в екосистемі Sui поспіль сталися кілька інцидентів безпеки: сейф Volo зазнав атаки, збитки становили близько 3,5 млн доларів (приблизно 60% уже повернули); Scallop за два дні до атаки розкривала вразливість у флеш-лоні щодо нагородних контрактів для сSUI, які вже були списані, збитки — 142 тис. доларів.
Згідно з даними галузевої статистики, загальні втрати через вразливості в DeFi за квітень 2026 року перевищили 606 млн доларів — один із найтяжчих місяців із лютого 2025 року; серед основних подій — вразливість у Kelp DAO rsETH (292 млн доларів), соціально-інженерна атака на Drift Protocol (285 млн доларів), а також експлуатація вразливостей у проєктах Mantra Chain, Lista DAO тощо.
Питання та відповіді
Коли сталася подія атаки Aftermath Finance і в чому технічна причина?
Згідно з технічним аналізом GoPlus і офіційною заявою Aftermath Finance, атака відбулася 29 квітня 2026 року. Зловмисник використав ADMIN-права функції add_integrator_config та вразливість невідповідності символів у функції calculate_taker_fees: шляхом налаштування від’ємних комісій за код білдера він повторно витягував токени. Встановлено, що збитки становлять 114 тис. доларів.
Як Aftermath Finance гарантує повне відшкодування коштів користувачам?
Згідно з офіційною заявою Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.
Чи пов’язана ця атака з вразливостями безпеки мови Sui Move?
Згідно з офіційною заявою Aftermath Finance, ця атака не є проблемою безпеки самої мови Move. Причина — помилка в налаштуванні комісій у логіці конкретного контракту протоколу. Інші продукти, зокрема спотові угоди, ліквідний стейкінг afSUI та пули AMM, не зазнали впливу.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Tydro зупиняє всі ринки 5 травня через проблему з оракулом; кошти користувачів у безпеці
Згідно з BlockBeats, Tydro, кредитний протокол в екосистемі Ink, призупинив усі ринки 5 травня після повідомлення про проблему з оракулом третьої сторони. Команда підтвердила, що кошти користувачів залишаються в безпеці, і активно розслідує
GateNews8хв. тому
Гонконг уперше видав дві ліцензії на стейблкоїни! Регулятор Фінансового управління розкрив умови для подальшого видавання: планомірно просувають упровадження, жорстко контролюють кількість
Гонконгський монетарний орган (HKMA) уперше видав ліцензії на випуск стейблкоїнів HSBC та AnchorX (спільне підприємство Standard Chartered Hong Kong, Hong Kong Telecom і Anzi Group). Обидві компанії орієнтуються на роздрібні платежі та корпоративні транскордонні розрахунки; у середині та наприкінці року вони запустять стейблкоїни для різних цілей. У відомстві заявили, що потрібно буде спостерігати за фактичним функціонуванням і ризиками, перш ніж ухвалити рішення про додаткову видачу ліцензій, а кількість буде суворо контролюватися. Стейблкоїни, як очікується, зменшать витрати на міжнародні перекази та прискорять платежі, а в перспективі — за допомогою AI забезпечать миттєве зарахування коштів.
ChainNewsAbmedia1год тому
Tetra Trust запускає стейблкоїн CADD разом із Shopify та Національним банком Канади
Tetra Trust запустила CADD — новий стейблкоїн із забезпеченням Shopify та Національним банком Канади серед інших підтримувачів, розроблений для цілодобового транскордонного клірингу та виконання інституційних транзакцій у реальному часі. Цифрова валюта націлена на інституційних користувачів, які прагнуть замінити застаріле пакетне проведення розрахунків
CryptoFrontier1год тому
Фонд Compound: ринки Comet для WETH і wstETH відновили торги
Згідно з Compound Foundation, ринки Comet для WETH і wstETH відновили торгівлю після координації з командами Kelp і Aave, щоб не порушити ширші зусилля з відновлення DeFi. Фундація зазначила, що тимчасові зупинки можуть траплятися під час ліквідаційних вікон, пов’язаних із вразливістю, з
GateNews2год тому
Aave подає терміновий клопотання для зняття заморозки $73M ETH у зв’язку з експлойтом у Kelp DAO
Aave LLC подала в суд у федеральній інстанції терміновий клопотання 1 травня, щоб домогтися скасування ухвали суду про заморозку приблизно $73 мільйонів у ether, який вдалося вилучити після експлойту Kelp DAO, відповідно до поданих матеріалів. Ця ухвала обмежує Arbitrum DAO у переміщенні відновлених коштів, тоді як позивачі від років давнього ter
CryptoFrontier2год тому
Рух Exodus досяг критичного порогу під час зміщення фокусу на платежі, Benchmark встановлює ціль $21 (165% потенціалу зростання) на понеділок
За словами аналітика Benchmark Марка Палмера в понеділок, Exodus Movement перейшла критичний поріг, переходячи від провайдера гаманців із самокерованим зберіганням до платформи криптоплатежів. Палмер зберіг рекомендацію Buy із цільовою ціною $21, що вказує приблизно на 165% потенційного зростання від поточної ціни
GateNews2год тому
