Berdasarkan analisis teknis insiden serangan yang dirilis GoPlus pada 30 April dan pernyataan resmi Aftermath Finance, platform perpetual contract Aftermath Finance di jaringan Sui diserang pada 29 April, mengalami kerugian lebih dari 1,14 juta dolar AS. Pihak proyek mengumumkan bahwa dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna akan mendapatkan kompensasi penuh.

Prinsip serangan: ADMIN disalahgunakan dan celah pada tanda biaya

Berdasarkan analisis teknis GoPlus, pelaku diduga menyalahgunakan hak ADMIN dari fungsi add_integrator_config, lalu memanfaatkan celah ketidaksesuaian tanda pada fungsi calculate_taker_fees untuk berkali-kali menarik keuntungan berupa token.

Berdasarkan pernyataan resmi Aftermath Finance, mekanisme inti yang dieksploitasi adalah “builder code fees” — sebuah mekanisme yang memberikan sebagian biaya transaksi sebagai imbal balik kepada integrator front-end atau layanan routing order; pernyataan tersebut menyebutkan logika kontrak “secara keliru mengizinkan pengaturan builder code fees bernilai negatif”, dan kekurangan desain ini memungkinkan penyerang mengonfigurasi nilai biaya di bawah nol, sehingga secara terus-menerus dapat menarik dana dari protokol.

Aftermath Finance menyatakan bahwa cakupan dampak serangan hanya terbatas pada protokol perpetual contract; perdagangan spot, smart router lintas-protokol, produk turunan afSUI liquid staking, dan pool AMM tidak terdampak, serta tetap beroperasi normal. Aftermath Finance juga menekankan bahwa serangan ini bukan masalah keamanan dari bahasa Move itu sendiri.

Alamat dompet Sui yang terkait dengan penyerang, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, telah ditelusuri secara terbuka melalui penjelajah blok Sui Suivision.

Respons Aftermath Finance dan skema kompensasi

Berdasarkan pernyataan publik airtx, co-founder Aftermath Finance, di platform X, setelah serangan terjadi, tim Aftermath Finance telah menghentikan transaksi berbahaya, dan bersama perusahaan keamanan on-chain Blockaid melakukan pekerjaan pemulihan di “war room”; Blockaid adalah platform keamanan on-chain yang dipercaya oleh MetaMask, Coinbase, dan dompet utama lainnya, bertugas membantu analisis vektor serangan serta pelacakan dompet penyerang.

Berdasarkan pengumuman terbaru Aftermath Finance, dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna yang terdampak akan mendapatkan kompensasi penuh; Aftermath Finance menyatakan bahwa pihaknya saat ini terus melakukan pekerjaan penelusuran dan pengembalian dana.

Latar belakang serangan ekosistem Sui DeFi

Menurut laporan industri, pada April 2026 ekosistem Sui mengalami beberapa insiden keamanan berturut-turut: brankas Volo diserang dengan kerugian sekitar 3,5 juta dolar AS (sekitar 60% sudah berhasil dipulihkan); Scallop, dua hari sebelum serangan terjadi, mengungkap celah flash loan yang menargetkan kontrak reward sSUI yang sudah ditinggalkan, dengan kerugian 142 ribu dolar AS.

Menurut statistik industri, kerugian akibat kebocoran di DeFi secara keseluruhan pada April 2026 telah melampaui 606 juta dolar AS, menjadi salah satu bulan paling parah sejak Februari 2025. Peristiwa utama termasuk celah Kelp DAO rsETH (292 juta dolar AS), serangan social engineering terhadap Drift Protocol (285 juta dolar AS), serta pemanfaatan celah pada proyek seperti Mantra Chain dan Lista DAO.

Pertanyaan yang sering diajukan

Kapan dan apa penyebab teknis insiden serangan Aftermath Finance?

Berdasarkan analisis teknis GoPlus dan pernyataan resmi Aftermath Finance, serangan terjadi pada 29 April 2026. Pelaku memanfaatkan hak ADMIN dari fungsi add_integrator_config serta celah ketidaksesuaian tanda pada fungsi calculate_taker_fees, dengan mengatur builder code fees bernilai negatif untuk menarik token berulang kali, hingga memastikan kerugian sebesar 1,14 juta dolar AS.

Bagaimana Aftermath Finance memastikan dana pengguna mendapat kompensasi penuh?

Berdasarkan pernyataan resmi Aftermath Finance, dengan dukungan Mysten Labs dan Sui Foundation, semua pengguna yang terdampak akan mendapatkan kompensasi penuh; Aftermath Finance menyatakan bahwa pihaknya saat ini terus melakukan pekerjaan penelusuran dan pengembalian dana.

Apakah serangan ini melibatkan celah keamanan pada bahasa Sui Move?

Berdasarkan pernyataan resmi Aftermath Finance, serangan ini bukan masalah keamanan dari bahasa kontrak Move itu sendiri, melainkan disebabkan kesalahan konfigurasi biaya pada logika kontrak protokol tertentu. Perdagangan spot, afSUI liquid staking, dan pool AMM serta produk lain tidak terdampak.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.