Aftermath Finance publie une liste complète des portefeuilles touchés par l’exploit Sui Perps de 1,1 million de dollars. Les demandes d’indemnisation ouvrent lundi, mais certains soldes peuvent ne pas correspondre.
Une feuille Google, partagé publiquement par @AftermathFi sur X, répertorie tous les portefeuilles capturés dans l’exploit du 29 avril qui ont drainé environ 1,1 million de dollars du produit perpétuel du protocole sur Sui.
Les demandes d’indemnisation ne s’ouvrent que lundi. L’équipe souhaite que les utilisateurs vérifient leur ligne avant cette date.
La ligne qui pourrait ne pas correspondre à ce que vous avez perdu
« Certains soldes peuvent nécessiter un rapprochement en raison des retraits effectués pendant la fenêtre de sous-garantie » Conséquences publiées sur X. Toute personne dont le montant semble erroné est invitée à ouvrir un ticket Discord ou à envoyer un message direct à l’équipe avec ses données de transaction.
La fiche comptable concernée est accessible à l’adresse lien complet vers Google Sheetspublié par l’équipe. Le numéro de tout le monde ne sera pas propre.
Cependant, une chose qui peut arriver maintenant : des garanties inutilisées. Dans un article séparé sur X, @AftermathFi a confirmé que les utilisateurs disposant de garanties sur des comptes peuvent déjà les retirer sans attendre lundi.
Comment il reste 1,1 million de dollars en moins de 40 minutes
La brèche elle-même s’est déroulée rapidement. Comme signalé précédemment, l’attaquant est apparu pour la première fois le 28 avril avec 405 SUI. Le lendemain matin, environ 278 USDC de garantie de semences avaient été rassemblés via un échange SOR.
La suite fut systématique. Selon L’autopsie complète d’Aftermath sur X, dix-sept tentatives de vidange ont suivi entre 08h55 et 09h31 UTC le 29 avril. Onze ont atterri. Six non.
La racine était une faille d’entier signé dans la logique comptable de l’intégrateur. Un attaquant pourrait s’enregistrer en tant que son propre intégrateur, fixer des frais de preneur négatifs de 100 000 et extraire une garantie synthétique en tant que véritable USDC. Chacune des 11 transactions réussies était un seul PTB qui ouvrait deux comptes, exécutait un ordre de marché contre une contrepartie réelle, puis se retirait.
La vulnérabilité a été introduite le 29 août 2025. @osec_io a audité les modifications en novembre. Le problème a été manqué.
Après la vidange, les bénéfices ont été transférés vers de nouveaux portefeuilles à usage unique. Selon l’autopsie de @AftermathFi, environ 250 000 $ USDC sont allés à Binance, environ 400 000 $ USDC à KuCoin, environ 150 000 $ en SUI à HTX et environ 150 000 $ USDC à HitBTC, le tout en environ 80 minutes. Sui les problèmes de sécurité se sont accrusà travers plusieurs protocoles ces dernières semaines.
Outils d’IA, un deuxième audit et ce qui vient ensuite
L’équipe ne relance pas AFperps immédiatement. Un audit supplémentaire est en cours avec un cabinet distinct, a indiqué @AftermathFi. L’examen manuel, a reconnu directement l’équipe, « est insuffisant en 2026 ».
Ce cadrage est devenu courant. Aftermath a noté qu’il faisait partie d’une douzaine de protocoles touchés par des exploits cette semaine seulement. La réponse inclut désormais un investissement plus important dans les flux de travail de sécurité de l’IA, bien qu’aucun détail sur les outils n’ait été partagé.
Blockaid, ZeroShadow, OtterSec, la Fondation Sui et Mysten Labs ont tous été récompensés pour leur réponse rapide. Le protocole plus large, y compris afSui, les pools, les fermes, l’agrégateur et le SOR, est resté intact du début à la fin.
Lundi est toujours la date des réclamations. La réconciliation des lignes avant cette date est ce que l’équipe demande.
Source : Live Bitcoin News
Laisser un commentaire