Відповідно до технічного аналізу події атаки та офіційної заяви Aftermath Finance, оприлюднених GoPlus 30 квітня, на платформу для вічних контрактів Aftermath Finance у мережі Sui 29 квітня було здійснено атаку, внаслідок якої проєкт зазнав збитків понад 114 тис. доларів. У відповідь команда проєкту оголосила, що за підтримки Mysten Labs і Фонду Sui всі користувачі отримають повне відшкодування.
Принцип атаки: викрадення ADMIN-доступу та вразливість із символами у комісіях
Згідно з технічним аналізом GoPlus, атакувальник, ймовірно, викрав права ADMIN функції add_integrator_config, а потім скористався вразливістю невідповідності символів у функції calculate_taker_fees, повторювано витягуючи кошти.
В офіційній заяві Aftermath Finance зазначено, що ключовим механізмом, який було використано, є «комісії за код білдера» (builder code fees) — механізм, який передбачає повернення частини транзакційних комісій інтеграційному фронтенду або сервісу роутингу замовлень. У заяві вказано, що контрактна логіка «помилково дозволяє встановлювати від’ємні комісії за код білдера», і цей недолік дизайну дав атакувальнику змогу налаштовувати значення комісій нижче нуля, щоб безперервно витягувати кошти з протоколу.
Aftermath Finance пояснює, що вплив атаки обмежується лише протоколом вічних контрактів; спотові угоди, крос-протокольний смарт-роутер, похідні продукти afSUI для ліквідного стейкінгу та пули AMM не постраждали і продовжують працювати в штатному режимі. Aftermath Finance також підкреслює, що ця атака не є проблемою безпеки саме мови Move.
Адреса гаманця Sui, пов’язана з атакувальником, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, наразі відстежується публічно через блокчейн-експлорер Suivision.
Відповідь Aftermath Finance та план компенсацій
Згідно з публічною заявою співзасновника Aftermath Finance airtx у X, після того як сталася атака, команда Aftermath Finance призупинила шкідливі транзакції та разом із блокчейн-компанією з безпеки Blockaid працювала над відновленням у «war room»; Blockaid — це ончейн-платформа безпеки, якій довіряють MetaMask, Coinbase та інші провідні гаманці, вона відповідає за допомогу в аналізі векторів атаки та відстеженні гаманця атакувальника.
Відповідно до останнього оголошення Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.
Передісторія атак в екосистемі Sui DeFi
Згідно з повідомленнями в галузі, у квітні 2026 року в екосистемі Sui поспіль сталися кілька інцидентів безпеки: сейф Volo зазнав атаки, збитки становили близько 3,5 млн доларів (приблизно 60% уже повернули); Scallop за два дні до атаки розкривала вразливість у флеш-лоні щодо нагородних контрактів для сSUI, які вже були списані, збитки — 142 тис. доларів.
Згідно з даними галузевої статистики, загальні втрати через вразливості в DeFi за квітень 2026 року перевищили 606 млн доларів — один із найтяжчих місяців із лютого 2025 року; серед основних подій — вразливість у Kelp DAO rsETH (292 млн доларів), соціально-інженерна атака на Drift Protocol (285 млн доларів), а також експлуатація вразливостей у проєктах Mantra Chain, Lista DAO тощо.
Питання та відповіді
Коли сталася подія атаки Aftermath Finance і в чому технічна причина?
Згідно з технічним аналізом GoPlus і офіційною заявою Aftermath Finance, атака відбулася 29 квітня 2026 року. Зловмисник використав ADMIN-права функції add_integrator_config та вразливість невідповідності символів у функції calculate_taker_fees: шляхом налаштування від’ємних комісій за код білдера він повторно витягував токени. Встановлено, що збитки становлять 114 тис. доларів.
Як Aftermath Finance гарантує повне відшкодування коштів користувачам?
Згідно з офіційною заявою Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.
Чи пов’язана ця атака з вразливостями безпеки мови Sui Move?
Згідно з офіційною заявою Aftermath Finance, ця атака не є проблемою безпеки самої мови Move. Причина — помилка в налаштуванні комісій у логіці конкретного контракту протоколу. Інші продукти, зокрема спотові угоди, ліквідний стейкінг afSUI та пули AMM, не зазнали впливу.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
