Aftermath Finance publiceert een volledige lijst van wallets die zijn getroffen door de $1,1M Sui Perps-exploit. Compensatieclaims gaan maandag open, maar sommige saldi komen mogelijk niet overeen.
Een Google Sheet, openbaar gedeeld door @AftermathFi op X, vermeldt elke wallet die is vastgelegd in de exploit van 29 april die ongeveer $1,1 miljoen uit het perpetuals-product van het protocol op Sui heeft weggehaald.
Compensatieclaims gaan pas maandag open. Het team wil dat gebruikers voor die tijd hun rij controleren.
De rij die mogelijk niet overeenkomt met wat u verloor
“Sommige saldi moeten mogelijk worden afgestemd vanwege opnames die zijn gedaan tijdens het undercollateralized-venster”, plaatste Aftermath op X. Iedereen wiens bedrag niet klopt, wordt gevraagd een Discord-ticket te openen of het team rechtstreeks te DM’en met hun transactiegegevens.
Het overzicht van getroffen accounts is toegankelijk via de volledige Google Sheets-link die door het team is gepubliceerd. Niet ieders nummer zal kloppend zijn.
Eén ding dat nu al kan, is: inactief onderpand. In een apart bericht op X bevestigde @AftermathFi dat gebruikers met onderpand dat in accounts staat, dit al kunnen opnemen zonder op maandag te wachten.
Hoe $1,1M binnen 40 minuten verdween
De inbreuk zelf speelde zich snel af. Zoals eerder gemeld, verscheen de aanvaller voor het eerst op 28 april met 405 SUI. Tegen de volgende ochtend was via een SOR-swap ongeveer 278 USDC aan startonderpand verzameld.
Wat volgde was systematisch. Volgens Aftermath’s volledige postmortem op X volgden zeventien leegtrekpogingen tussen 08:55 en 09:31 UTC op 29 april. Elf slaagden. Zes niet.
De oorzaak was een signed integer-fout in de integrator-boekhoudlogica. Een aanvaller kon zich registreren als zijn eigen integrator, een negatieve taker-fee van 100.000 instellen en synthetisch onderpand als echte USDC opnemen. Elk van de 11 succesvolle transacties was een enkele PTB die twee accounts opende, een marktorder uitvoerde tegen een echte tegenpartij en vervolgens opnam.
De kwetsbaarheid werd geïntroduceerd op 29 augustus 2025. @osec_io auditte de wijzigingen in november. Het probleem werd gemist.
Na de leegtrekking verplaatsten de opbrengsten zich via nieuwe wegwerpwallets. Volgens Aftermath’s postmortem ging ongeveer $250K USDC naar Binance, ongeveer $400K USDC naar KuCoin, ongeveer $150K in SUI naar HTX en ongeveer $150K USDC naar HitBTC, alles binnen ongeveer 80 minuten. Sui’s veiligheidsproblemen zijn de afgelopen weken toegenomen bij meerdere protocollen.
AI-tools, een tweede audit en wat er daarna komt
Het team lanceert AFperps niet onmiddellijk opnieuw. Er loopt een aanvullende audit bij een apart bedrijf, aldus @AftermathFi. Handmatige beoordeling, zo gaf het team direct toe, “is onvoldoende in 2026.”
Die framing is gebruikelijk geworden. Aftermath merkte op dat het tot bijna een dozijn protocollen behoorde die deze week alleen al door exploits werden getroffen. De reactie omvat nu een zwaardere investering in AI-beveiligingsworkflows, hoewel er geen specifieke details over tools werden gedeeld.
Blockaid, ZeroShadow, OtterSec, de Sui Foundation en Mysten Labs kregen allen erkenning voor hun snelle reactie. Het bredere protocol, inclusief afSui, pools, farms, aggregator en SOR, bleef gedurende het hele incident onaangetast.
Maandag is nog steeds de claimdatum. Het team vraagt om rijafstemming vóór die tijd.
Geef een reactie