Aftermath Finance が攻撃を受け損失 114 万、Mysten Labs はユーザーに全額補償を提供

GoPlusが4月30日に公表した攻撃事件の技術分析およびAftermath Finance公式声明によると、Suiチェーン上の無期限先物契約プラットフォームAftermath Financeは4月29日に攻撃を受け、損失は114万ドルを超えました。プロジェクト側は、Mysten LabsおよびSui財団の支援により、すべてのユーザーに全額補償が行われると発表しています。

攻撃の原理：ADMIN権限の悪用と手数料シンボル（費用表記）不具合

GoPlusの技術分析によると、攻撃者はadd_integrator_config関数のADMIN権限を不正に奪取した疑いがあり、その後、calculate_taker_fees関数内の符号不一致（シンボル不一致）による不具合を利用して、何度も代替トークンを取り出して利益を得ていたとされています。

Aftermath Finance公式声明によれば、悪用された中核メカニズムは「ビルダーコード手数料」（builder code fees）です。これは、一部の取引手数料を、インテグレーションのフロントエンドや注文ルーティングサービスに還元する仕組みのことです。声明では、コントラクトのロジックが「負のビルダーコード手数料を設定できてしまう」誤りを含んでおり、この設計上の欠陥によって攻撃者がゼロ未満の手数料値を設定し、その結果として協定（プロトコル）から継続的に資金を引き出せてしまったとしています。

Aftermath Financeは、攻撃の影響範囲は無期限先物契約プロトコルに限定されており、現物取引、クロスプロトコルのスマートルーター、afSUI流動性ステーキングの派生商品、ならびにAMMプールはいずれも影響を受けておらず、通常どおり稼働していると説明しています。さらにAftermath Financeは、今回の攻撃はMove言語そのものの安全性問題ではないと強調しました。

攻撃者に関連するSuiウォレットアドレス0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41eは、SuiブロックエクスプローラーのSuivisionを通じて公開追跡されています。

Aftermath Financeの対応と補償方針

Aftermath Finance共同創業者のairtxがX（旧Twitter）で行った公開声明によれば、攻撃発生後、Aftermath Financeチームは悪意のある取引を一時停止し、オンチェーンセキュリティ企業Blockaidと「ウォールーム（作戦室）」にて復旧作業を共同で進めています。BlockaidはMetaMask、Coinbase、その他の主要ウォレットが信頼するオンチェーン・セキュリティプラットフォームで、攻撃ベクトルの分析や攻撃者ウォレットの追跡を支援する役割を担っています。

Aftermath Financeの最新発表によると、Mysten LabsおよびSui財団の支援のもと、影響を受けたすべてのユーザーに全額補償が行われます。Aftermath Financeは現在も資金の回収作業を継続していると述べています。

Sui DeFiエコシステムへの攻撃の背景

業界の報道によれば、2026年4月にSuiエコシステムでは相次いで複数のセキュリティ事件が発生しました。Voloの金庫が攻撃を受け、損失は約350万ドル（約60%はすでに回収済み）でした。Scallopは攻撃の2日前に、使われなくなったsSUIの報酬（インセンティブ）コントラクトを対象とするフラッシュローンの脆弱性を開示しており、損失は14.2万ドルでした。

業界の統計によると、2026年4月のDeFiにおける全体の脆弱性による損失はすでに6.06億ドルを超えており、2025年2月以来の最も深刻な月の1つです。主な出来事には、Kelp DAOのrsETH脆弱性（2.92億ドル）、Drift Protocolのソーシャルエンジニアリング攻撃（2.85億ドル）、ならびにMantra ChainやLista DAOなどのプロジェクトによる脆弱性の悪用が含まれます。

よくある質問

Aftermath Financeの攻撃事案はいつ発生し、技術的な原因は何でしたか？

GoPlusの技術分析およびAftermath Finance公式声明によれば、攻撃は2026年4月29日に発生しました。攻撃者はadd_integrator_config関数のADMIN権限とcalculate_taker_fees関数の符号不一致による不具合を悪用し、負のビルダーコード手数料を設定することで代替トークンを繰り返し引き出し、損失が114万ドルであることが確認されたとされています。

Aftermath Financeはどのようにしてユーザーの資金を全額補償できるようにしていますか？

Aftermath Finance公式声明によると、Mysten LabsおよびSui財団の支援のもと、影響を受けたすべてのユーザーに全額補償が行われます。Aftermath Financeは現在も資金の回収作業を継続していると述べています。

今回の攻撃はSui Move言語の安全な脆弱性が関係していますか？

Aftermath Finance公式声明によれば、今回の攻撃はMoveコントラクト言語そのものの安全性問題ではなく、特定のプロトコルコントラクトにおける手数料設定ミスによるものです。現物取引、afSUIの流動性ステーキング、AMMプールなど、他のプロダクトはいずれも影響を受けていません。