Aftermath Finance зазнав атаки та зазнав збитків на суму 114 тис., Mysten Labs підтримує повне відшкодування користувачам

Відповідно до технічного аналізу події атаки та офіційної заяви Aftermath Finance, оприлюднених GoPlus 30 квітня, на платформу для вічних контрактів Aftermath Finance у мережі Sui 29 квітня було здійснено атаку, внаслідок якої проєкт зазнав збитків понад 114 тис. доларів. У відповідь команда проєкту оголосила, що за підтримки Mysten Labs і Фонду Sui всі користувачі отримають повне відшкодування.

Принцип атаки: викрадення ADMIN-доступу та вразливість із символами у комісіях

Згідно з технічним аналізом GoPlus, атакувальник, ймовірно, викрав права ADMIN функції add_integrator_config, а потім скористався вразливістю невідповідності символів у функції calculate_taker_fees, повторювано витягуючи кошти.

В офіційній заяві Aftermath Finance зазначено, що ключовим механізмом, який було використано, є «комісії за код білдера» (builder code fees) — механізм, який передбачає повернення частини транзакційних комісій інтеграційному фронтенду або сервісу роутингу замовлень. У заяві вказано, що контрактна логіка «помилково дозволяє встановлювати від’ємні комісії за код білдера», і цей недолік дизайну дав атакувальнику змогу налаштовувати значення комісій нижче нуля, щоб безперервно витягувати кошти з протоколу.

Aftermath Finance пояснює, що вплив атаки обмежується лише протоколом вічних контрактів; спотові угоди, крос-протокольний смарт-роутер, похідні продукти afSUI для ліквідного стейкінгу та пули AMM не постраждали і продовжують працювати в штатному режимі. Aftermath Finance також підкреслює, що ця атака не є проблемою безпеки саме мови Move.

Адреса гаманця Sui, пов’язана з атакувальником, 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e, наразі відстежується публічно через блокчейн-експлорер Suivision.

Відповідь Aftermath Finance та план компенсацій

Згідно з публічною заявою співзасновника Aftermath Finance airtx у X, після того як сталася атака, команда Aftermath Finance призупинила шкідливі транзакції та разом із блокчейн-компанією з безпеки Blockaid працювала над відновленням у «war room»; Blockaid — це ончейн-платформа безпеки, якій довіряють MetaMask, Coinbase та інші провідні гаманці, вона відповідає за допомогу в аналізі векторів атаки та відстеженні гаманця атакувальника.

Відповідно до останнього оголошення Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.

Передісторія атак в екосистемі Sui DeFi

Згідно з повідомленнями в галузі, у квітні 2026 року в екосистемі Sui поспіль сталися кілька інцидентів безпеки: сейф Volo зазнав атаки, збитки становили близько 3,5 млн доларів (приблизно 60% уже повернули); Scallop за два дні до атаки розкривала вразливість у флеш-лоні щодо нагородних контрактів для сSUI, які вже були списані, збитки — 142 тис. доларів.

Згідно з даними галузевої статистики, загальні втрати через вразливості в DeFi за квітень 2026 року перевищили 606 млн доларів — один із найтяжчих місяців із лютого 2025 року; серед основних подій — вразливість у Kelp DAO rsETH (292 млн доларів), соціально-інженерна атака на Drift Protocol (285 млн доларів), а також експлуатація вразливостей у проєктах Mantra Chain, Lista DAO тощо.

Питання та відповіді

Коли сталася подія атаки Aftermath Finance і в чому технічна причина?

Згідно з технічним аналізом GoPlus і офіційною заявою Aftermath Finance, атака відбулася 29 квітня 2026 року. Зловмисник використав ADMIN-права функції add_integrator_config та вразливість невідповідності символів у функції calculate_taker_fees: шляхом налаштування від’ємних комісій за код білдера він повторно витягував токени. Встановлено, що збитки становлять 114 тис. доларів.

Як Aftermath Finance гарантує повне відшкодування коштів користувачам?

Згідно з офіційною заявою Aftermath Finance, за підтримки Mysten Labs і Фонду Sui всі постраждалі користувачі отримають повне відшкодування; Aftermath Finance зазначає, що наразі триває робота із поверненням коштів.

Чи пов’язана ця атака з вразливостями безпеки мови Sui Move?

Згідно з офіційною заявою Aftermath Finance, ця атака не є проблемою безпеки самої мови Move. Причина — помилка в налаштуванні комісій у логіці конкретного контракту протоколу. Інші продукти, зокрема спотові угоди, ліквідний стейкінг afSUI та пули AMM, не зазнали впливу.