Theo phân tích kỹ thuật về vụ tấn công do GoPlus công bố vào ngày 30 tháng 4 và tuyên bố chính thức của Aftermath Finance, nền tảng hợp đồng vĩnh viễn Aftermath Finance trên mạng Sui đã bị tấn công vào ngày 29 tháng 4, gây thiệt hại hơn 1,14 triệu USD. Đội dự án cho biết, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng sẽ được bồi hoàn toàn bộ.
Nguyên lý tấn công: bị chiếm quyền ADMIN và lỗ hổng ký hiệu phí
Theo phân tích kỹ thuật của GoPlus, kẻ tấn công bị nghi đã đánh cắp quyền ADMIN của hàm add_integrator_config, sau đó khai thác lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees để lặp lại nhiều lần việc rút lợi nhuận bằng đồng tiền.
Theo tuyên bố chính thức của Aftermath Finance, cơ chế cốt lõi bị khai thác là “phí mã xây dựng” (builder code fees) — một cơ chế hoàn trả một phần phí giao dịch cho giao diện tích hợp trước hoặc dịch vụ định tuyến lệnh; tuyên bố nêu rằng logic hợp đồng “cho phép sai việc thiết lập builder code fees âm”. Lỗ hổng thiết kế này cho phép kẻ tấn công cấu hình giá trị phí nhỏ hơn 0, từ đó liên tục trích rút tiền từ giao thức.
Aftermath Finance cho biết phạm vi ảnh hưởng chỉ giới hạn ở giao thức hợp đồng vĩnh viễn; giao dịch giao ngay, bộ định tuyến thông minh xuyên giao thức, các sản phẩm phái sinh staking thanh khoản afSUI và các pool AMM không bị ảnh hưởng, đồng thời vẫn vận hành bình thường. Aftermath Finance cũng nhấn mạnh rằng vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move.
Địa chỉ ví Sui liên quan đến kẻ tấn công 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e đã được theo dõi công khai thông qua trình duyệt khối Sui Suivision.
Phản hồi và phương án bồi thường của Aftermath Finance
Theo tuyên bố công khai của đồng sáng lập Aftermath Finance, airtx, trên nền tảng X, sau khi vụ tấn công xảy ra, đội ngũ Aftermath Finance đã tạm dừng các giao dịch độc hại và phối hợp với công ty an ninh blockchain Blockaid trong “war room” để khôi phục; Blockaid là nền tảng an ninh chuỗi mà MetaMask, Coinbase và các ví phổ biến khác tin tưởng, chịu trách nhiệm hỗ trợ phân tích vector tấn công và theo dõi ví của kẻ tấn công.
Theo thông báo mới nhất của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Bối cảnh các vụ tấn công trong hệ sinh thái Sui DeFi
Theo các báo cáo trong ngành, trong tháng 4 năm 2026, hệ sinh thái Sui liên tục ghi nhận nhiều sự cố an ninh: kho Volo bị tấn công và thiệt hại khoảng 3,5 triệu USD (ước tính khoảng 60% đã được truy hồi); Scallop công bố trước hai ngày xảy ra cuộc tấn công rằng có lỗ hổng flash loan nhắm vào hợp đồng phần thưởng đã bị ngừng sSUI, gây thiệt hại 14,2 nghìn USD.
Theo thống kê trong ngành, tổng thiệt hại do lỗ hổng DeFi trong tháng 4 năm 2026 đã vượt 6,06 tỷ USD, là một trong những tháng nghiêm trọng nhất kể từ tháng 2 năm 2025; các sự kiện chính bao gồm lỗ hổng Kelp DAO rsETH (2,92 tỷ USD), cuộc tấn công kỹ thuật xã hội của Drift Protocol (2,85 tỷ USD), cùng với việc khai thác lỗ hổng từ các dự án như Mantra Chain và Lista DAO.
Câu hỏi thường gặp
Thời điểm xảy ra vụ tấn công và nguyên nhân kỹ thuật của Aftermath Finance là gì?
Theo phân tích kỹ thuật của GoPlus và tuyên bố chính thức của Aftermath Finance, vụ tấn công diễn ra vào ngày 29 tháng 4 năm 2026. Kẻ tấn công khai thác quyền ADMIN của hàm add_integrator_config và lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees; bằng cách thiết lập builder code fees âm để rút lặp lại nhiều lần, xác nhận thiệt hại là 1,14 triệu USD.
Aftermath Finance đảm bảo thế nào để người dùng nhận được bồi hoàn toàn bộ?
Theo tuyên bố chính thức của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Vụ tấn công này có liên quan đến lỗ hổng bảo mật của ngôn ngữ Sui Move không?
Theo tuyên bố chính thức của Aftermath Finance, vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move, mà do lỗi cấu hình phí trong logic hợp đồng của một giao thức cụ thể gây ra; các sản phẩm khác như giao dịch giao ngay, staking thanh khoản afSUI và các pool AMM đều không bị ảnh hưởng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Pi Network ra mắt bản nâng cấp Protocol 23 trước ngày 15/5, mở khóa 184,5 triệu token PI
Theo Nghien Crypto, Pi Network đang triển khai bản nâng cấp Protocol 23 với hạn chót ngày 15/5, kích hoạt smart contracts và PiDex (sàn DEX gốc) trên mạng. Bản nâng cấp giới thiệu Launchpad cho các đợt phát hành token và cơ chế thẩm định token chống spam. Tất cả các node mainnet phải nâng cấp để tiếp tục sử dụng mạng
GateNews2giờ trước
Exodus Movement nắm giữ 46,7 triệu USD bằng BTC và ETH, 74,4 triệu USD tiền mặt tính đến Q1 2026
Theo PANews, Exodus Movement (NYSE American: EXOD) đã công bố kết quả kinh doanh sơ bộ Q1/2026 vào ngày 4/5, ghi nhận doanh thu khoảng 22,7 triệu USD, giảm 36,9% so với cùng kỳ năm trước. Nền tảng tiền mã hóa tự lưu ký nắm giữ 46,7 triệu USD tài sản kỹ thuật số, gồm 628 Bitcoin (42,8 triệu USD) a
GateNews3giờ trước
Giao thức nhận dạng chuỗi On-Chain Phi ngừng hoạt động vào ngày 25 tháng 5
Theo PANews, giao thức nhận dạng on-chain Phi đã công bố vào ngày 4 tháng 5 rằng họ sẽ tắt nền tảng phi.box và các dịch vụ liên quan vào ngày 25 tháng 5 năm 2026. Người dùng phải hoàn tất yêu cầu nhận thưởng, rút gỡ tài sản đã stake và sắp xếp các NFT trước thời hạn. Token quản trị $PHI sẽ vẫn tồn tại trên chuỗi và
GateNews4giờ trước
Người dùng Wasabi Protocol hiện có thể rút an toàn toàn bộ số tiền còn lại
Theo Wasabi Protocol, người dùng hiện có thể tương tác an toàn với hợp đồng thông minh của giao thức để rút phần tiền còn lại. Nhóm cho biết họ tiếp tục điều tra sự cố bảo mật và sẽ chia sẻ các cập nhật tiếp theo với cộng đồng ngay khi các điều kiện
GateNews8giờ trước
Bisq Protocol bị tấn công, bị đánh cắp 11 BTC vào ngày 4/5; kế hoạch bồi thường đang được bỏ phiếu tại DAO
Theo Bisq, giao thức đã bị tấn công vào ngày 4 tháng 5 do thiếu các cơ chế xác minh, dẫn đến việc khoảng 11 BTC bị đánh cắp, chủ yếu từ các giao dịch altcoin. Nền tảng đang thảo luận các phương án bồi thường cho người dùng bị ảnh hưởng, những người có thể chọn hoàn trả bằng Bitcoin hoặc token BSQ p
GateNews9giờ trước
Tháng ghi dấu 1 tỷ đô la của Figure thúc đẩy đà thị trường tín dụng blockchain
Figure đạt mốc 1 tỷ USD theo tháng, chốt lại nỗ lực kéo dài nhiều năm nhằm loại bỏ các trung gian khỏi thị trường tín dụng và đưa tài sản trong thế giới thực, cho vay cũng như cổ phiếu lên các mạng blockchain.
Chiến lược của công ty tập trung vào việc đưa cơ sở hạ tầng tài chính truyền thống lên onchain, với một
CryptoFrontier13giờ trước
