Aftermath Finance publie une liste complète des portefeuilles touchés par l’exploit Sui Perps de 1,1 million de dollars. Les demandes de compensation ouvrent lundi, mais certains soldes pourraient ne pas correspondre.
Un Google Sheet, partagé publiquement par @AftermathFi sur X, répertorie tous les portefeuilles pris dans l’exploit du 29 avril qui a vidé environ 1,1 million de dollars du produit perpétuel du protocole sur Sui.
Les demandes de compensation n’ouvrent que lundi. L’équipe souhaite que les utilisateurs vérifient leur ligne avant cette date.
La ligne qui pourrait ne pas correspondre à ce que vous avez perdu
« Certains soldes peuvent nécessiter un rapprochement en raison des retraits effectués pendant la fenêtre de sous-collatéralisation, » a posté Aftermath sur X. Toute personne dont le montant semble erroné est invitée à ouvrir un ticket Discord ou à envoyer un message direct à l’équipe avec ses données de transaction.
La feuille des comptes affectés est accessible via le lien Google Sheets complet publié par l’équipe. Le nombre de tout le monde ne sera pas exact.
Une chose qui peut se faire maintenant, cependant : les garanties inactives. Dans un message séparé sur X, @AftermathFi a confirmé que les utilisateurs ayant des garanties dans leurs comptes peuvent déjà les retirer sans attendre lundi.
Comment 1,1 million de dollars sont partis en moins de 40 minutes
La brèche elle-même s’est déroulée rapidement. Comme rapporté précédemment, l’attaquant est apparu pour la première fois le 28 avril avec 405 SUI. Le lendemain matin, environ 278 USDC de garantie initiale avaient été rassemblés via un échange SOR.
Ce qui a suivi était systématique. Selon le post-mortem complet d’Aftermath sur X, dix-sept tentatives de vidage ont suivi entre 08:55 et 09:31 UTC le 29 avril. Onze ont réussi. Six non.
La cause racine était un défaut d’entier signé dans la logique comptable de l’intégrateur. Un attaquant pouvait s’enregistrer comme son propre intégrateur, définir des frais de preneur négatifs de 100 000, et retirer des garanties synthétiques sous forme d’USDC réel. Chacune des 11 transactions réussies était un seul PTB qui ouvrait deux comptes, exécutait un ordre au marché contre une contrepartie réelle, puis retirait.
La vulnérabilité a été introduite le 29 août 2025. @osec_io a audité les changements en novembre. Le problème n’a pas été détecté.
Après le vidage, les produits ont transité par de nouveaux portefeuilles à usage unique. Selon le post-mortem d’@AftermathFi, environ 250 000 $ USDC sont allés sur Binance, environ 400 000 $ USDC sur KuCoin, environ 150 000 $ en SUI sur HTX, et environ 150 000 $ USDC sur HitBTC, le tout en environ 80 minutes. Les préoccupations de sécurité de Sui se multiplient à travers plusieurs protocoles ces dernières semaines.
Outils d’IA, deuxième audit et suite des événements
L’équipe ne relance pas immédiatement AFperps. Un audit supplémentaire est en cours avec un cabinet distinct, a déclaré @AftermathFi. La révision manuelle, a reconnu directement l’équipe, « est insuffisante en 2026. »
Ce cadrage est devenu courant. Aftermath a noté qu’il faisait partie d’une dizaine de protocoles touchés par des exploits cette semaine seulement. La réponse inclut désormais un investissement plus lourd dans les flux de travail de sécurité basés sur l’IA, bien qu’aucun détail sur les outils n’ait été partagé.
Blockaid, ZeroShadow, OtterSec, la Sui Foundation et Mysten Labs ont tous été remerciés pour leur réponse rapide. Le protocole plus large, incluant afSui, les pools, les fermes, l’agrégateur et SOR, est resté intact tout au long.
Lundi reste la date des réclamations. Le rapprochement des lignes avant cette date est ce que l’équipe demande.
Laisser un commentaire