Naglabas ang Aftermath Finance ng buong listahan ng mga wallet na naapektuhan sa $1.1M na pagsasamantala sa Sui Perps. Bubuksan ang mga claim para sa kompensasyon sa Lunes, ngunit maaaring hindi tugma ang ilang balanse.
Isang Google Sheet, ibinahagi sa publiko ni @AftermathFi sa X, naglilista ng bawat wallet na naabutan sa pagsasamantalang naganap noong Abril 29 na kumitil ng humigit-kumulang $1.1 milyon mula sa produkto ng perpetuals ng protocol sa Sui.
Hindi pa bubuksan ang mga claim para sa kompensasyon hanggang Lunes. Gusto ng team na suriin ng mga user ang kanilang row bago iyon.
Ang Row na Maaaring Hindi Tugma sa Iyong Nawala
“Ang ilang balanse ay maaaring mangailangan ng pagkakasundo dahil sa mga withdrawal na ginawa habang ang window na kulang sa collateral,” post ng Aftermath sa X. Ang sinumang ang halaga ay tila hindi tama ay hinihiling na magbukas ng Discord ticket o direktang mag-DM sa team gamit ang kanilang data ng transaksyon.
Ang sheet ng mga apektadong account ay naa-access sa buong link ng Google Sheets na inilathala ng team. Hindi lahat ng numero ay malinis.
Isang bagay na maaaring gawin ngayon, gayunpaman: idle collateral. Sa isang hiwalay na post sa X, kinumpirma ni @AftermathFi na ang mga user na may collateral na nasa account ay maaari na itong i-withdraw nang hindi naghihintay ng Lunes.
Paano Nakaalis ang $1.1M sa Loob ng Wala Pang 40 Minuto
Mabilis na naganap ang breach mismo. Gaya ng naunang ulat, unang lumitaw ang umaatake noong Abril 28 na may 405 SUI. Pagsapit ng sumunod na umaga, humigit-kumulang 278 USDC sa seed collateral ang naipon sa pamamagitan ng SOR swap.
Ang sumunod ay sistematiko. Ayon sa buong postmortem ng Aftermath sa X, labimpitong pagtatangka ng drain ang sumunod sa pagitan ng 08:55 at 09:31 UTC noong Abril 29. Labing-isa ang nagtagumpay. Anim ang hindi.
Ang ugat ay isang signed integer flaw sa integrator accounting logic. Maaaring magrehistro ang isang umaatake bilang kanilang sariling integrator, magtakda ng negative na 100,000 taker fee, at kumuha ng synthetic collateral bilang tunay na USDC. Bawat isa sa 11 na matagumpay na transaksyon ay isang solong PTB na nagbukas ng dalawang account, nagsagawa ng market order laban sa isang tunay na counterparty, pagkatapos ay nag-withdraw.
Ang vulnerability ay ipinakilala noong Agosto 29, 2025. Na-audit ni @osec_io ang mga pagbabago noong Nobyembre. Na-miss ang isyu.
Matapos ang drain, lumipat ang mga nalikom sa mga bagong single-use wallet. Ayon sa postmortem ni @AftermathFi, humigit-kumulang $250K USDC ang napunta sa Binance, mga $400K USDC sa KuCoin, humigit-kumulang $150K sa SUI sa HTX, at mga $150K USDC sa HitBTC, lahat sa loob ng halos 80 minuto. Ang mga alalahanin sa seguridad ng Sui ay patuloy na lumalaki sa maraming protocol sa mga nakaraang linggo.
AI Tooling, Ikalawang Audit, at ang Susunod na Mangyayari
Hindi agad ilulunsad muli ng team ang AFperps. Isang karagdagang audit ang isinasagawa kasama ang isang hiwalay na kompanya, ayon kay @AftermathFi. Ang manual review, direktang inamin ng team, “ay hindi sapat sa 2026.”
Ang balangkas na iyon ay naging pangkaraniwan. Nabanggit ng Aftermath na kabilang ito sa halos isang dosenang protocol na naapektuhan ng mga exploit sa linggong ito lamang. Ang tugon ngayon ay may kasamang mas malaking pamumuhunan sa AI-security workflows, bagaman walang partikular na tooling ang ibinahagi.
Si Blockaid, ZeroShadow, OtterSec, Sui Foundation, at Mysten Labs ay lahat nakatanggap ng pagkilala para sa mabilis na pagtugon. Ang mas malawak na protocol, kabilang ang afSui, pools, farms, aggregator, at SOR, ay nanatiling hindi naapektuhan sa kabuuan.
Ang Lunes pa rin ang petsa ng pag-claim. Ang pagkakasundo ng row bago iyon ang hinihiling ng team.
Mag-iwan ng Tugon