Согласно техническому анализу инцидента атаки, опубликованному GoPlus 30 апреля, и официальному заявлению Aftermath Finance, платформа вечных контрактов Aftermath Finance в сети Sui была атакована 29 апреля; потери превысили 1,14 млн долларов. Проект объявил, что при поддержке Mysten Labs и Sui Foundation все пользователи получат полное возмещение.
Принцип атаки: кража ADMIN-права и уязвимость со знаком в комиссиях
Согласно техническому анализу GoPlus, атакующий, предположительно, похитил ADMIN-права функции add_integrator_config, после чего использовал уязвимость несоответствия знаков в функции calculate_taker_fees, многократно извлекая прибыль в виде токенов.
Согласно официальному заявлению Aftermath Finance, ключевой механизм, который был использован, — «комиссии за код сборки» (builder code fees), механизм, при котором часть комиссий за транзакции возвращается интеграционной фронтенд-части или сервису маршрутизации заказов. В заявлении отмечено, что контрактная логика «ошибочно позволяет задавать отрицательные комиссии за код сборки», и этот недостаток дизайна дает атакующему возможность настраивать значения комиссий ниже нуля, продолжая извлекать средства из протокола.
В заявлении Aftermath Finance говорится, что воздействие атаки ограничено только протоколом вечных контрактов; спотовая торговля, кросс-протокольные смарт-роутеры, производные инструменты afSUI для ликвидного стейкинга и AMM-пулы не пострадали и продолжают работать в штатном режиме. Aftermath Finance также подчеркнула, что эта атака не является проблемой безопасности самого языка Move.
Sui-кошелек, связанный с атакующим, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, был публично отслежен через блокчейн-эксплорер Suivision.
Ответ Aftermath Finance и план компенсации
Согласно публичному заявлению соучредителя Aftermath Finance airtx на платформе X, после того как произошла атака, команда Aftermath Finance приостановила вредоносные транзакции и совместно с ончейн-компанией по безопасности Blockaid в «операционной комнате» (war room) проводит восстановительные работы; Blockaid — ончейн-платформа по безопасности, которой доверяют MetaMask, Coinbase и другие популярные кошельки. Она отвечает за помощь в анализе векторов атаки и отслеживании кошелька атакующего.
Согласно последнему объявлению Aftermath Finance, при поддержке Mysten Labs и Sui Foundation все затронутые пользователи получат полное возмещение; Aftermath Finance заявляет, что в настоящее время продолжается работа по возврату средств.
Фон атаки на экосистему Sui DeFi
Согласно сообщениям отрасли, в апреле 2026 года в экосистеме Sui произошло несколько инцидентов безопасности подряд: хранилище Volo подверглось атаке с потерями около 3,5 млн долларов (около 60% уже возвращено); Scallop за два дня до атаки раскрыла уязвимость в флэш-кредите против использовавшегося sSUI бонусного смарт-контракта, потери составили 14,2 тыс. долларов.
Согласно отраслевой статистике, в апреле 2026 года общие потери из-за уязвимостей в DeFi превысили 606 млн долларов — один из самых тяжелых месяцев с февраля 2025 года; среди ключевых событий — уязвимость в Kelp DAO rsETH (2,92 млрд долларов), социально-инженерная атака Drift Protocol (142k долларов), а также эксплуатации уязвимостей в проектах Mantra Chain, Lista DAO и других.
Часто задаваемые вопросы
Когда произошел инцидент атаки Aftermath Finance и каковы технические причины?
Согласно техническому анализу GoPlus и официальному заявлению Aftermath Finance, атака произошла 29 апреля 2026 года. Атакующий использовал ADMIN-права функции add_integrator_config и уязвимость несоответствия знаков в функции calculate_taker_fees; путем задания отрицательных комиссий за код сборки было многократно извлечены токены. Потери подтверждены на уровне 1,14 млн долларов.
Как Aftermath Finance обеспечивает полное возмещение средств пользователей?
Согласно официальному заявлению Aftermath Finance, при поддержке Mysten Labs и Sui Foundation все затронутые пользователи получат полное возмещение; Aftermath Finance заявляет, что в настоящее время продолжается работа по возврату средств.
Связана ли эта атака с уязвимостью безопасности языка Sui Move?
Согласно официальному заявлению Aftermath Finance, эта атака не связана с проблемой безопасности самого языка Move; ее причиной является ошибка настройки комиссий в логике конкретного контрактного соглашения. Другие продукты, такие как спотовая торговля, ликвидный стейкинг afSUI и AMM-пулы, не пострадали.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
