Theo phân tích kỹ thuật về vụ tấn công do GoPlus công bố vào ngày 30 tháng 4 và tuyên bố chính thức của Aftermath Finance, nền tảng hợp đồng vĩnh viễn Aftermath Finance trên mạng Sui đã bị tấn công vào ngày 29 tháng 4, gây thiệt hại hơn 1,14 triệu USD. Đội dự án cho biết, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng sẽ được bồi hoàn toàn bộ.
Nguyên lý tấn công: bị chiếm quyền ADMIN và lỗ hổng ký hiệu phí
Theo phân tích kỹ thuật của GoPlus, kẻ tấn công bị nghi đã đánh cắp quyền ADMIN của hàm add_integrator_config, sau đó khai thác lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees để lặp lại nhiều lần việc rút lợi nhuận bằng đồng tiền.
Theo tuyên bố chính thức của Aftermath Finance, cơ chế cốt lõi bị khai thác là “phí mã xây dựng” (builder code fees) — một cơ chế hoàn trả một phần phí giao dịch cho giao diện tích hợp trước hoặc dịch vụ định tuyến lệnh; tuyên bố nêu rằng logic hợp đồng “cho phép sai việc thiết lập builder code fees âm”. Lỗ hổng thiết kế này cho phép kẻ tấn công cấu hình giá trị phí nhỏ hơn 0, từ đó liên tục trích rút tiền từ giao thức.
Aftermath Finance cho biết phạm vi ảnh hưởng chỉ giới hạn ở giao thức hợp đồng vĩnh viễn; giao dịch giao ngay, bộ định tuyến thông minh xuyên giao thức, các sản phẩm phái sinh staking thanh khoản afSUI và các pool AMM không bị ảnh hưởng, đồng thời vẫn vận hành bình thường. Aftermath Finance cũng nhấn mạnh rằng vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move.
Địa chỉ ví Sui liên quan đến kẻ tấn công 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e đã được theo dõi công khai thông qua trình duyệt khối Sui Suivision.
Phản hồi và phương án bồi thường của Aftermath Finance
Theo tuyên bố công khai của đồng sáng lập Aftermath Finance, airtx, trên nền tảng X, sau khi vụ tấn công xảy ra, đội ngũ Aftermath Finance đã tạm dừng các giao dịch độc hại và phối hợp với công ty an ninh blockchain Blockaid trong “war room” để khôi phục; Blockaid là nền tảng an ninh chuỗi mà MetaMask, Coinbase và các ví phổ biến khác tin tưởng, chịu trách nhiệm hỗ trợ phân tích vector tấn công và theo dõi ví của kẻ tấn công.
Theo thông báo mới nhất của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Bối cảnh các vụ tấn công trong hệ sinh thái Sui DeFi
Theo các báo cáo trong ngành, trong tháng 4 năm 2026, hệ sinh thái Sui liên tục ghi nhận nhiều sự cố an ninh: kho Volo bị tấn công và thiệt hại khoảng 3,5 triệu USD (ước tính khoảng 60% đã được truy hồi); Scallop công bố trước hai ngày xảy ra cuộc tấn công rằng có lỗ hổng flash loan nhắm vào hợp đồng phần thưởng đã bị ngừng sSUI, gây thiệt hại 14,2 nghìn USD.
Theo thống kê trong ngành, tổng thiệt hại do lỗ hổng DeFi trong tháng 4 năm 2026 đã vượt 6,06 tỷ USD, là một trong những tháng nghiêm trọng nhất kể từ tháng 2 năm 2025; các sự kiện chính bao gồm lỗ hổng Kelp DAO rsETH (2,92 tỷ USD), cuộc tấn công kỹ thuật xã hội của Drift Protocol (2,85 tỷ USD), cùng với việc khai thác lỗ hổng từ các dự án như Mantra Chain và Lista DAO.
Câu hỏi thường gặp
Thời điểm xảy ra vụ tấn công và nguyên nhân kỹ thuật của Aftermath Finance là gì?
Theo phân tích kỹ thuật của GoPlus và tuyên bố chính thức của Aftermath Finance, vụ tấn công diễn ra vào ngày 29 tháng 4 năm 2026. Kẻ tấn công khai thác quyền ADMIN của hàm add_integrator_config và lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees; bằng cách thiết lập builder code fees âm để rút lặp lại nhiều lần, xác nhận thiệt hại là 1,14 triệu USD.
Aftermath Finance đảm bảo thế nào để người dùng nhận được bồi hoàn toàn bộ?
Theo tuyên bố chính thức của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Vụ tấn công này có liên quan đến lỗ hổng bảo mật của ngôn ngữ Sui Move không?
Theo tuyên bố chính thức của Aftermath Finance, vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move, mà do lỗi cấu hình phí trong logic hợp đồng của một giao thức cụ thể gây ra; các sản phẩm khác như giao dịch giao ngay, staking thanh khoản afSUI và các pool AMM đều không bị ảnh hưởng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
