De acordo com a análise técnica do incidente de ataque e a declaração oficial da Aftermath Finance divulgadas pela GoPlus a 30 de abril, a plataforma de contratos perpétuos Aftermath Finance na rede Sui foi alvo de um ataque a 29 de abril, com perdas superiores a 1,14 milhões de dólares. A equipa do projeto anunciou que, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores receberão uma compensação integral.

Princípio do ataque: abuso de permissões ADMIN e falha no formato de taxas

De acordo com a análise técnica da GoPlus, o atacante terá abusado da permissão ADMIN da função add_integrator_config e, em seguida, explorado uma falha de incompatibilidade de símbolos na função calculate_taker_fees para extrair lucros em tokens de forma repetida.

De acordo com a declaração oficial da Aftermath Finance, o mecanismo central explorado foi a “taxa de código de construção” (builder code fees) — um mecanismo que devolve parte das taxas de transação ao front-end de integração ou ao serviço de roteamento de ordens. A declaração indica que a lógica do contrato “permite incorretamente definir builder code fees negativos”, e que este defeito de conceção permitiu ao atacante configurar valores de taxas abaixo de zero, extraindo de forma contínua fundos do protocolo.

A Aftermath Finance esclareceu que o impacto do ataque se limitou ao protocolo de contratos perpétuos; as transações à vista, os routers inteligentes entre protocolos, os derivados de staking de liquidez afSUI e as pools de AMM não foram afetados e mantiveram o funcionamento normal. A Aftermath Finance salientou também que este ataque não constitui um problema de segurança inerente à linguagem Move.

O endereço da carteira Sui associado ao atacante 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e foi acompanhado publicamente através do explorador de blocos da Sui, Suivision.

Resposta da Aftermath Finance e plano de compensação

De acordo com a declaração pública do cofundador da Aftermath Finance, airtx, na plataforma X, após a ocorrência do ataque, a equipa da Aftermath Finance suspendeu as transações maliciosas e trabalhou em conjunto com a empresa de segurança on-chain Blockaid num “war room” para a recuperação; a Blockaid é uma plataforma de segurança on-chain confiada pelo MetaMask, Coinbase e outras carteiras mainstream, responsável por apoiar a análise dos vetores de ataque e o seguimento da carteira do atacante.

De acordo com o anúncio mais recente da Aftermath Finance, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores afetados receberão uma compensação integral; a Aftermath Finance afirma que, neste momento, está em curso a recuperação dos fundos.

Contexto de ataques na ecossistema Sui DeFi

De acordo com reportagens da indústria, em abril de 2026 ocorreram múltiplos incidentes de segurança consecutivos no ecossistema Sui: a Volo Vault foi atacada, com perdas de cerca de 3,5 milhões de dólares (cerca de 60% já recuperados); a Scallop divulgou, dois dias antes do ataque, uma falha de flash loan direcionada a contratos de recompensas sSUI entretanto descontinuados, com perdas de 142 mil dólares.

De acordo com estatísticas da indústria, as perdas totais por falhas em DeFi em abril de 2026 ultrapassaram os 606 milhões de dólares, ficando entre os meses mais graves desde fevereiro de 2025; os principais incidentes incluem a falha do Kelp DAO em rsETH (292 milhões de dólares), o ataque de engenharia social ao Drift Protocol (285 milhões de dólares) e explorações de vulnerabilidades em projetos como Mantra Chain e Lista DAO.

Perguntas frequentes

Quando ocorreu o ataque da Aftermath Finance e qual foi a causa técnica?

De acordo com a análise técnica da GoPlus e a declaração oficial da Aftermath Finance, o ataque ocorreu a 29 de abril de 2026. O atacante explorou as permissões ADMIN da função add_integrator_config e a falha de incompatibilidade de símbolos na função calculate_taker_fees, extraindo tokens de forma repetida ao definir builder code fees negativos, confirmando-se perdas de 1,14 milhões de dólares.

Como é que a Aftermath Finance garante que os fundos dos utilizadores recebem compensação integral?

De acordo com a declaração oficial da Aftermath Finance, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores afetados receberão uma compensação integral; a Aftermath Finance afirma que, neste momento, está em curso a recuperação dos fundos.

Este ataque envolveu alguma vulnerabilidade de segurança na linguagem Sui Move?

De acordo com a declaração oficial da Aftermath Finance, este ataque não se deve a um problema de segurança da própria linguagem Move, mas sim a um erro de configuração de taxas na lógica do contrato específico. Os restantes produtos, como transações à vista, staking de liquidez afSUI e pools de AMM, não foram afetados.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

PayPal reorganiza três principais áreas de negócio, com as criptomoedas e PYUSD como divisão central

Progresso do projeto Ações

A PayPal anunciou oficialmente, a 30 de abril, uma reorganização estratégica, simplificando a estrutura do negócio em três grandes áreas centrais: soluções de checkout e PayPal, serviços de crédito ao consumidor e Venmo, e serviços de pagamentos e cripto; além disso, a área de serviços de pagamentos e cripto foi criada separadamente, integrando a Braintree, o processamento para pequenas e médias empresas, serviços de valor acrescentado e atividades de cripto (incluindo stablecoins PYUSD).

MarketWhisper8m atrás

OKX Lança Protocolo de Pagamentos por Agentes para Ciclos de Negócios de IA

Progresso do projeto Parcerias e ecossistema Agente de IA

A bolsa de criptomoedas OKX apresentou na quarta-feira o seu Agent Payments Protocol (APP), posicionando-o como um padrão aberto para pagamentos agentic, concebido para suportar ciclos de negócio completos para agentes de IA. O anúncio surge na sequência de ofertas semelhantes, incluindo x402, um protocolo aberto incubado pela Coinbase, e

CryptoFrontier1h atrás

Kite lança a rede principal e disponibiliza uma camada de controlo de pagamentos para licenças de agentes de IA

Progresso do projeto Agente de IA

De acordo com o anúncio oficial da Kite, a infraestrutura de pagamentos Kite, para a economia de AI Agents, lançou oficialmente a sua mainnet a 30 de abril; durante o arranque da mainnet, o Kite Treasury paga as taxas de rede, pelo que os utilizadores não precisam de se aperceber de gas. A Kite também está a disponibilizar ao público o Kite Agent Passport, como camada de autorização e controlo de pagamentos para Agents.

MarketWhisper1h atrás

Pump.fun Lança a Funcionalidade de Charity Coins a 30 de abril, permitindo doações diretas de taxas ao criador para 10.000+ instituições de caridade certificadas

Progresso do projeto Parcerias e ecossistema

De acordo com a SolanaFloor, a Pump.fun lançou a funcionalidade Charity Coins em parceria com a Donate a 30 de abril, permitindo que os criadores direcionem as taxas do criador de meme coin para mais de 10.000 instituições de caridade certificadas. A funcionalidade visa reduzir riscos fiscais, minimizar fraudes e garantir a conformidade das doações e

GateNews2h atrás

Sky Protocol atinge um recorde de 123,79 milhões de dólares em receitas no 1.º trimestre, mais 28,9% em termos homólogos

Progresso do projeto Relatórios do setor

De acordo com a Sky Frontier Foundation, a receita trimestral do protocolo Sky atingiu 123,79 milhões de dólares no 1.º trimestre de 2026, acima 28,9% em termos homólogos e 56,8% em termos trimestrais, marcando um recorde para o protocolo. O excedente líquido totalizou 46,04 milhões de dólares, representando 92,4% do excedente líquido do ano completo de 2025. Protocolo

GateNews2h atrás

Atualização dos documentos oficiais da Hyperliquid: HIP-4 disponibiliza a abertura gratuita de posições de tokens resultantes

Progresso do projeto

De acordo com as atualizações oficiais da Hyperliquid a 30 de abril, a equipa da Hyperliquid tornou clara nos documentos a lógica de taxas dos tokens de resultados da HIP-4. As regras centrais são: as transações de tokens de resultados são taxadas apenas aquando do fecho ou da liquidação, não sendo aplicada qualquer taxa na abertura; a fórmula de taxas já foi disponibilizada aos programadores. Em março, a Hyperliquid anunciou o lançamento do teste da rede da HIP-4.

MarketWhisper2h atrás

Comentar

0/400

Nenhum comentário