อ้างอิงจากการวิเคราะห์ทางเทคนิคเหตุการณ์โจมตีและแถลงการณ์อย่างเป็นทางการของ Aftermath Finance ที่ GoPlus เผยแพร่เมื่อวันที่ 30 เมษายน ระบบแพลตฟอร์มสัญญาถาวร (perpetual) Aftermath Finance บนเครือข่าย Sui ถูกโจมตีเมื่อวันที่ 29 เมษายน โดยมีความเสียหายมากกว่า 1.14 ล้านดอลลาร์ ฝ่ายโปรเจกต์ประกาศว่า ภายใต้การสนับสนุนจาก Mysten Labs และ Sui Foundation ผู้ใช้ทั้งหมดจะได้รับการชดเชยเต็มจำนวน
หลักการของการโจมตี: การฉวยใช้สิทธิ์ ADMIN และช่องโหว่สัญลักษณ์ของค่าธรรมเนียม
จากการวิเคราะห์ทางเทคนิคของ GoPlus ผู้โจมตีมีแนวโน้มจะขโมย/ฉวยใช้สิทธิ์ ADMIN ของฟังก์ชัน add_integrator_config จากนั้นใช้ช่องโหว่ที่ “สัญลักษณ์ไม่สอดคล้องกัน” ในฟังก์ชัน calculate_taker_fees เพื่อดึงกำไรเป็นเหรียญแทนซ้ำแล้วซ้ำเล่า
จากแถลงการณ์อย่างเป็นทางการของ Aftermath Finance กลไกหลักที่ถูกนำไปใช้คือ “ค่าธรรมเนียมโค้ดสำหรับการสร้าง” (builder code fees) ซึ่งเป็นกลไกที่นำส่วนหนึ่งของค่าธรรมเนียมธุรกรรมกลับไปให้กับส่วนหน้า (frontend) หรือบริการจัดเส้นทางคำสั่งซื้อ โดยแถลงการณ์ระบุว่า ตรรกะสัญญา “อนุญาตให้ตั้งค่า builder code fees ติดลบอย่างผิดพลาด” ข้อบกพร่องด้านการออกแบบนี้ทำให้ผู้โจมตีสามารถกำหนดค่าธรรมเนียมที่ต่ำกว่าศูนย์ได้ ส่งผลให้สามารถดึงเงินออกจากโปรโตคอลได้อย่างต่อเนื่อง
Aftermath Finance ระบุด้วยว่า ขอบเขตผลกระทบนั้นจำกัดอยู่แค่โปรโตคอลสัญญาถาวรเท่านั้น โดยการเทรดสปอต (spot) ตัวจัดเส้นทางอัจฉริยะข้ามโปรโตคอล (cross-protocol smart routers) ผลิตภัณฑ์อนุพันธ์ด้านสภาพคล่องแบบ staking ของ afSUI และพูลของ AMM ไม่ได้รับผลกระทบ และยังคงทำงานตามปกติ นอกจากนี้ Aftermath Finance ยังย้ำว่าการโจมตีครั้งนี้ไม่ใช่ปัญหาด้านความปลอดภัยของภาษา Move เอง
ที่อยู่กระเป๋าเงินของ Sui ที่เชื่อมโยงกับผู้โจมตี 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e ได้ถูกติดตามแบบสาธารณะผ่านตัวสำรวจบน Sui อย่าง Suivision
การตอบกลับของ Aftermath Finance และแผนการชดเชย
จากแถลงการณ์อย่างเป็นทางการที่ปรากฏบนแพลตฟอร์ม X ของ airtx ผู้ร่วมก่อตั้ง Aftermath Finance หลังเกิดเหตุทีม Aftermath Finance ได้หยุดการทำธุรกรรมที่เป็นการโจมตี/ประสงค์ร้าย และดำเนินการฟื้นฟูร่วมกับบริษัทความปลอดภัยบนเชน Blockaid ใน “war room” โดย Blockaid เป็นแพลตฟอร์มความปลอดภัยบนเชนที่ได้รับความเชื่อถือจาก MetaMask, Coinbase และกระเป๋าเงินหลักอื่น ๆ ทำหน้าที่ช่วยวิเคราะห์เวกเตอร์การโจมตีและติดตามกระเป๋าของผู้โจมตี
ตามประกาศล่าสุดของ Aftermath Finance ภายใต้การสนับสนุนจาก Mysten Labs และ Sui Foundation ผู้ใช้ที่ได้รับผลกระทบทั้งหมดจะได้รับการชดเชยเต็มจำนวน Aftermath Finance ระบุว่าขณะนี้กำลังดำเนินการติดตาม/เรียกคืนเงินอย่างต่อเนื่อง
เบื้องหลังการโจมตีในระบบนิเวศ Sui DeFi
ตามรายงานในวงการ ในเดือนเมษายน 2026 ระบบนิเวศ Sui เกิดเหตุด้านความปลอดภัยหลายครั้งติดต่อกัน: คลังเงิน Volo ถูกโจมตีเสียหายราว 3.5 ล้านดอลลาร์ (ประมาณ 60% ถูกเรียกคืนแล้ว) ส่วน Scallop ได้เปิดเผยช่องโหว่แฟลชโลนที่มุ่งโจมตีสัญญารางวัล sSUI ที่ถูกยกเลิกไปแล้ว ก่อนเกิดการโจมตี 2 วัน ส่งผลให้ขาดทุน 142,000 ดอลลาร์
จากสถิติในวงการ ความสูญเสียจากช่องโหว่ใน DeFi ทั้งหมดในเดือนเมษายน 2026 มีมูลค่ามากกว่า 606 ล้านดอลลาร์ ซึ่งเป็นหนึ่งในเดือนที่รุนแรงที่สุดนับตั้งแต่เดือนกุมภาพันธ์ 2025 เหตุการณ์หลักได้แก่ ช่องโหว่ของ Kelp DAO rsETH (292 ล้านดอลลาร์), การโจมตีด้วยวิศวกรรมสังคมต่อ Drift Protocol (285 ล้านดอลลาร์) และการถูกใช้ประโยชน์จากช่องโหว่ของโปรเจกต์อย่าง Mantra Chain, Lista DAO เป็นต้น
คำถามที่พบบ่อย
เหตุการณ์การโจมตีของ Aftermath Finance เกิดขึ้นเมื่อใด และสาเหตุทางเทคนิคคืออะไร?
ตามการวิเคราะห์ทางเทคนิคของ GoPlus และแถลงการณ์อย่างเป็นทางการของ Aftermath Finance เหตุโจมตีเกิดขึ้นเมื่อวันที่ 29 เมษายน 2026 โดยผู้โจมตีใช้สิทธิ์ ADMIN ของฟังก์ชัน add_integrator_config และช่องโหว่ที่ “สัญลักษณ์ไม่สอดคล้องกัน” ของฟังก์ชัน calculate_taker_fees ผ่านการตั้งค่า builder code fees ติดลบเพื่อดึงเหรียญแทนซ้ำ ๆ ยืนยันความเสียหายอยู่ที่ 1.14 ล้านดอลลาร์
Aftermath Finance ชดเชยเงินผู้ใช้ให้ครบเต็มจำนวนได้อย่างไร?
ตามแถลงการณ์อย่างเป็นทางการของ Aftermath Finance ภายใต้การสนับสนุนจาก Mysten Labs และ Sui Foundation ผู้ใช้ที่ได้รับผลกระทบทั้งหมดจะได้รับการชดเชยเต็มจำนวน Aftermath Finance ระบุว่าขณะนี้กำลังดำเนินการติดตาม/เรียกคืนเงินอย่างต่อเนื่อง
การโจมตีครั้งนี้เกี่ยวข้องกับช่องโหว่ด้านความปลอดภัยของภาษา Sui Move หรือไม่?
ตามแถลงการณ์อย่างเป็นทางการของ Aftermath Finance การโจมตีครั้งนี้ไม่ใช่ปัญหาด้านความปลอดภัยของภาษา Move หรือสัญญา Move เอง แต่เกิดจากข้อผิดพลาดในการกำหนดค่าธรรมเนียมในตรรกะของสัญญาเฉพาะโปรโตคอล ขณะที่ผลิตภัณฑ์อื่น ๆ เช่น การเทรดสปอต, afSUI การ staking สภาพคล่อง และพูลของ AMM ไม่ได้รับผลกระทบ
