Aftermath Finance công bố danh sách đầy đủ các ví bị tấn công trong vụ khai thác Sui Perps trị giá 1,1 triệu USD. Yêu cầu bồi thường sẽ mở vào Thứ Hai, nhưng một số số dư có thể không khớp.
Một Trang tính Google, được chia sẻ công khai bởi @AftermathFi trên X, liệt kê mọi ví bị phát hiện trong vụ khai thác ngày 29 tháng 4 đã tiêu tốn khoảng 1,1 triệu đô la từ sản phẩm vĩnh viễn của giao thức trên Sui.
Yêu cầu bồi thường không mở cho đến thứ Hai. Nhóm muốn người dùng kiểm tra hàng của họ trước thời điểm đó.
Hàng có thể không khớp với những gì bạn đã mất
“Một số số dư có thể cần được đối chiếu do các khoản rút tiền được thực hiện trong thời gian không được thế chấp,” Hậu quả được đăng trên X. Bất kỳ ai có số tiền không hợp lý sẽ được yêu cầu mở vé Discord hoặc gửi tin nhắn trực tiếp cho nhóm bằng dữ liệu giao dịch của họ.
Bảng tài khoản bị ảnh hưởng có thể truy cập được tại liên kết đầy đủ của Google Trang tínhđược nhóm phát hành. Không phải số của mọi người sẽ sạch sẽ.
Tuy nhiên, một điều có thể xảy ra bây giờ: tài sản thế chấp nhàn rỗi. trong một bài viết riêng trên X, @AftermathFi xác nhận những người dùng có tài sản thế chấp trong tài khoản đã có thể rút số tiền đó mà không cần đợi đến thứ Hai.
Làm thế nào còn lại 1,1 triệu đô la trong vòng chưa đầy 40 phút
Sự vi phạm diễn ra nhanh chóng. BẰNG báo cáo trước đó, kẻ tấn công xuất hiện lần đầu tiên vào ngày 28 tháng 4 với 405 SUI. Đến sáng hôm sau, khoảng 278 USDC tài sản thế chấp ban đầu đã được huy động thông qua hoán đổi SOR.
Những gì xảy ra tiếp theo là có tính hệ thống. Theo Bản khám nghiệm tử thi đầy đủ của Aftermath trên X, 17 lần thoát nước diễn ra trong khoảng thời gian từ 08:55 đến 09:31 UTC vào ngày 29 tháng 4. 11 lần hạ cánh. Sáu thì không.
Gốc là một lỗi số nguyên có dấu trong logic kế toán tích hợp. Kẻ tấn công có thể đăng ký làm nhà tích hợp của riêng mình, đặt mức phí cho người nhận âm 100.000 và rút tài sản thế chấp tổng hợp ra dưới dạng USDC thực. Mỗi giao dịch trong số 11 giao dịch thành công là một PTB duy nhất mở hai tài khoản, thực hiện lệnh thị trường đối với một đối tác thực, sau đó rút tiền.
Lỗ hổng được phát hiện vào ngày 29 tháng 8 năm 2025. @osec_io đã kiểm tra các thay đổi vào tháng 11. Vấn đề đã bị bỏ sót.
Sau khi rút tiền, số tiền thu được sẽ được chuyển qua các ví mới sử dụng một lần. Theo kết quả khám nghiệm tử thi của @AftermathFi, khoảng 250 nghìn USDC đã được chuyển đến Binance, khoảng 400 nghìn USDC đến KuCoin, khoảng 150 nghìn USD tiền SUI đến HTX và khoảng 150 nghìn USDC đến HitBTC, tất cả đều trong vòng khoảng 80 phút. Sui mối lo ngại về an ninh đã được xây dựngtrên nhiều giao thức trong những tuần gần đây.
Công cụ AI, đợt kiểm tra thứ hai và điều gì sẽ xảy ra tiếp theo
Nhóm sẽ không khởi chạy lại AFperps ngay lập tức. @AftermathFi cho biết một cuộc kiểm toán bổ sung đang được tiến hành với một công ty riêng biệt. Nhóm trực tiếp thừa nhận rằng việc xem xét thủ công là “không đủ vào năm 2026”.
Việc đóng khung đó đã trở nên phổ biến. Aftermath lưu ý rằng nó nằm trong số gần chục giao thức bị tấn công chỉ trong tuần này. Phản ứng hiện nay bao gồm việc đầu tư nhiều hơn vào quy trình bảo mật AI, mặc dù không có thông tin cụ thể nào về công cụ được chia sẻ.
Blockaid, ZeroShadow, OtterSec, Sui Foundation và Mysten Labs đều nhận được sự ghi nhận vì phản hồi nhanh chóng. Giao thức rộng hơn, bao gồm afSui, nhóm, trang trại, trình tổng hợp và SOR, vẫn chưa được xử lý xuyên suốt.
Thứ hai vẫn là ngày yêu cầu bồi thường. Việc hòa giải hàng trước đó là điều mà nhóm đang yêu cầu.
Nguồn: Live Bitcoin News
Để lại một bình luận