根据 GoPlus 于 4 月 30 日发布的攻击事件技术分析及 Aftermath Finance 官方声明,Sui 链上永续合约平台 Aftermath Finance 于 4 月 29 日遭攻击,损失超过 114 万美元,项目方宣布在 Mysten Labs 及 Sui 基金会的支持下,所有用户将获得全额补偿。
攻击原理:ADMIN 权限被盗用与费用符号漏洞
根据 GoPlus 技术分析,攻击者涉嫌盗用 add_integrator_config 函数的 ADMIN 权限,随后利用 calculate_taker_fees 函数中的符号不符漏洞,重复多次提取代币获利。
根据 Aftermath Finance 官方声明,被利用的核心机制为“构建代码费用”(builder code fees)——一种将部分交易费用回馈给整合前端或订单路由服务的机制;声明指出,合约逻辑“错误地允许设置负的构建代码费用”,此设计缺陷使攻击者得以配置低于零的费用值,进而持续从协议提取资金。
Aftermath Finance 声明说明,攻击影响范围仅限于永续合约协议;现货交易、跨协议智能路由器、afSUI 流动性质押衍生品及 AMM 池均未受影响,并保持正常运行。Aftermath Finance 同时强调,此次攻击并非 Move 合约语言本身的安全问题。
攻击者关联的 Sui 钱包地址 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e 已通过 Sui 区块浏览器 Suivision 进行公开追踪。
Aftermath Finance 回应与补偿方案
根据 Aftermath Finance 联合创始人 airtx 在 X 平台的公开声明,攻击发生后,Aftermath Finance 团队已暂停恶意交易,并与链上安全公司 Blockaid 在“作战室”(war room)中共同进行恢复工作;Blockaid 为 MetaMask、Coinbase 及其他主流钱包信赖的链上安全平台,负责协助攻击向量分析及攻击者钱包追踪。
根据 Aftermath Finance 最新公告,在 Mysten Labs 及 Sui 基金会的支持下,所有受影响用户将获得全额补偿;Aftermath Finance 表示,目前正持续进行资金追回工作。
Sui DeFi 生态攻击背景
根据业界报道,2026 年 4 月 Sui 生态系统连续发生多起安全事件:Volo 金库遭攻击损失约 350 万美元(约 60% 已追回);Scallop 于攻击发生前两日披露针对已弃用 sSUI 奖励合约的闪电贷漏洞,损失 14.2 万美元。
根据业界统计,2026 年 4 月整体 DeFi 漏洞损失已超过 6.06 亿美元,为自 2025 年 2 月以来最严重的月份之一;主要事件包括 Kelp DAO rsETH 漏洞(2.92 亿美元)、Drift Protocol 社会工程攻击(2.85 亿美元),以及 Mantra Chain、Lista DAO 等项目的漏洞利用。
常见问题
Aftermath Finance 攻击事件发生时间及技术原因为何?
根据 GoPlus 技术分析及 Aftermath Finance 官方声明,攻击于 2026 年 4 月 29 日发生,攻击者利用 add_integrator_config 函数的 ADMIN 权限及 calculate_taker_fees 函数的符号不符漏洞,通过设置负的构建代码费用重复提取代币,确认损失为 114 万美元。
Aftermath Finance 如何确保用户资金获得全额补偿?
根据 Aftermath Finance 官方声明,在 Mysten Labs 及 Sui 基金会的支持下,所有受影响用户将获得全额补偿;Aftermath Finance 表示目前正持续进行资金追回工作。
此次攻击是否涉及 Sui Move 语言的安全漏洞?
根据 Aftermath Finance 官方声明,此次攻击并非 Move 合约语言本身的安全问题,而是特定协议合约逻辑中的费用配置错误所致;现货交易、afSUI 流动性质押及 AMM 池等其他产品均未受影响。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
