Aftermath Finance công bố danh sách đầy đủ các ví bị ảnh hưởng trong vụ khai thác Sui Perps trị giá 1,1 triệu USD. Yêu cầu bồi thường sẽ mở vào thứ Hai, nhưng một số số dư có thể không khớp.
Một Google Sheet, được @AftermathFi chia sẻ công khai trên X, liệt kê mọi ví bị mắc kẹt trong vụ khai thác ngày 29 tháng 4 đã rút khoảng 1,1 triệu USD từ sản phẩm perpetuals của giao thức trên Sui.
Yêu cầu bồi thường sẽ không mở cho đến thứ Hai. Nhóm muốn người dùng kiểm tra hàng của họ trước thời điểm đó.
Hàng Có Thể Không Khớp Với Những Gì Bạn Đã Mất
“Một số số dư có thể cần đối chiếu do các khoản rút tiền được thực hiện trong cửa sổ thiếu tài sản thế chấp,” Aftermath đã đăng trên X. Bất kỳ ai có số tiền trông có vẻ sai lệch đều được yêu cầu mở ticket Discord hoặc nhắn tin trực tiếp cho nhóm với dữ liệu giao dịch của họ.
Bảng tính tài khoản bị ảnh hưởng có thể truy cập tại liên kết Google Sheets đầy đủ do nhóm công bố. Không phải số của ai cũng sạch sẽ.
Một điều có thể làm ngay bây giờ, tuy nhiên: tài sản thế chấp không hoạt động. Trong một bài đăng riêng trên X, @AftermathFi xác nhận người dùng có tài sản thế chấp nằm trong tài khoản có thể rút ngay mà không cần chờ đến thứ Hai.
Làm thế nào 1,1 triệu USD biến mất trong vòng chưa đầy 40 phút
Bản thân vụ vi phạm diễn ra rất nhanh. Như đã đưa tin trước đó, kẻ tấn công xuất hiện lần đầu vào ngày 28 tháng 4 với 405 SUI. Đến sáng hôm sau, khoảng 278 USDC tài sản thế chấp hạt giống đã được tập hợp thông qua một swap SOR.
Những gì tiếp theo là có hệ thống. Theo báo cáo hậu sự đầy đủ của Aftermath trên X, mười bảy lần cố gắng rút tiền đã diễn ra từ 08:55 đến 09:31 UTC ngày 29 tháng 4. Mười một lần thành công. Sáu lần không.
Gốc rễ là một lỗi số nguyên có dấu trong logic kế toán tích hợp. Kẻ tấn công có thể đăng ký làm integrator của chính mình, đặt phí taker âm 100.000, và rút tài sản thế chấp tổng hợp ra dưới dạng USDC thật. Mỗi giao dịch trong số 11 giao dịch thành công là một PTB duy nhất mở hai tài khoản, thực hiện lệnh thị trường với một đối tác thực, sau đó rút tiền.
Lỗ hổng được giới thiệu vào ngày 29 tháng 8 năm 2025. @osec_io đã kiểm toán các thay đổi vào tháng 11. Vấn đề đã bị bỏ sót.
Sau vụ rút tiền, số tiền thu được đã được chuyển qua các ví dùng một lần mới. Theo báo cáo hậu sự của @AftermathFi, khoảng 250.000 USDC đã đến Binance, khoảng 400.000 USDC đến KuCoin, khoảng 150.000 SUI đến HTX, và khoảng 150.000 USDC đến HitBTC, tất cả trong vòng khoảng 80 phút. Các mối quan ngại về bảo mật của Sui đã gia tăng trên nhiều giao thức trong những tuần gần đây.
Công cụ AI, Kiểm toán thứ hai, và Những gì tiếp theo
Nhóm sẽ không khởi chạy lại AFperps ngay lập tức. Một cuộc kiểm toán bổ sung đang được tiến hành với một công ty riêng biệt, @AftermathFi cho biết. Đánh giá thủ công, nhóm đã thừa nhận thẳng thắn, “là không đủ vào năm 2026.”
Cách diễn đạt đó đã trở nên phổ biến. Aftermath lưu ý rằng họ nằm trong số gần một chục giao thức bị tấn công chỉ trong tuần này. Phản ứng bây giờ bao gồm đầu tư nặng hơn vào quy trình bảo mật AI, mặc dù không có chi tiết cụ thể về công cụ nào được chia sẻ.
Blockaid, ZeroShadow, OtterSec, Sui Foundation và Mysten Labs đều được ghi nhận vì phản ứng nhanh chóng. Giao thức rộng hơn, bao gồm afSui, pools, farms, aggregator và SOR, vẫn không bị ảnh hưởng trong suốt quá trình.
Thứ Hai vẫn là ngày yêu cầu bồi thường. Việc đối chiếu hàng trước thời điểm đó là điều nhóm yêu cầu.
Để lại một bình luận