Theo phân tích kỹ thuật về vụ tấn công do GoPlus công bố vào ngày 30 tháng 4 và tuyên bố chính thức của Aftermath Finance, nền tảng hợp đồng vĩnh viễn Aftermath Finance trên mạng Sui đã bị tấn công vào ngày 29 tháng 4, gây thiệt hại hơn 1,14 triệu USD. Đội dự án cho biết, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng sẽ được bồi hoàn toàn bộ.
Nguyên lý tấn công: bị chiếm quyền ADMIN và lỗ hổng ký hiệu phí
Theo phân tích kỹ thuật của GoPlus, kẻ tấn công bị nghi đã đánh cắp quyền ADMIN của hàm add_integrator_config, sau đó khai thác lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees để lặp lại nhiều lần việc rút lợi nhuận bằng đồng tiền.
Theo tuyên bố chính thức của Aftermath Finance, cơ chế cốt lõi bị khai thác là “phí mã xây dựng” (builder code fees) — một cơ chế hoàn trả một phần phí giao dịch cho giao diện tích hợp trước hoặc dịch vụ định tuyến lệnh; tuyên bố nêu rằng logic hợp đồng “cho phép sai việc thiết lập builder code fees âm”. Lỗ hổng thiết kế này cho phép kẻ tấn công cấu hình giá trị phí nhỏ hơn 0, từ đó liên tục trích rút tiền từ giao thức.
Aftermath Finance cho biết phạm vi ảnh hưởng chỉ giới hạn ở giao thức hợp đồng vĩnh viễn; giao dịch giao ngay, bộ định tuyến thông minh xuyên giao thức, các sản phẩm phái sinh staking thanh khoản afSUI và các pool AMM không bị ảnh hưởng, đồng thời vẫn vận hành bình thường. Aftermath Finance cũng nhấn mạnh rằng vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move.
Địa chỉ ví Sui liên quan đến kẻ tấn công 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e đã được theo dõi công khai thông qua trình duyệt khối Sui Suivision.
Phản hồi và phương án bồi thường của Aftermath Finance
Theo tuyên bố công khai của đồng sáng lập Aftermath Finance, airtx, trên nền tảng X, sau khi vụ tấn công xảy ra, đội ngũ Aftermath Finance đã tạm dừng các giao dịch độc hại và phối hợp với công ty an ninh blockchain Blockaid trong “war room” để khôi phục; Blockaid là nền tảng an ninh chuỗi mà MetaMask, Coinbase và các ví phổ biến khác tin tưởng, chịu trách nhiệm hỗ trợ phân tích vector tấn công và theo dõi ví của kẻ tấn công.
Theo thông báo mới nhất của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Bối cảnh các vụ tấn công trong hệ sinh thái Sui DeFi
Theo các báo cáo trong ngành, trong tháng 4 năm 2026, hệ sinh thái Sui liên tục ghi nhận nhiều sự cố an ninh: kho Volo bị tấn công và thiệt hại khoảng 3,5 triệu USD (ước tính khoảng 60% đã được truy hồi); Scallop công bố trước hai ngày xảy ra cuộc tấn công rằng có lỗ hổng flash loan nhắm vào hợp đồng phần thưởng đã bị ngừng sSUI, gây thiệt hại 14,2 nghìn USD.
Theo thống kê trong ngành, tổng thiệt hại do lỗ hổng DeFi trong tháng 4 năm 2026 đã vượt 6,06 tỷ USD, là một trong những tháng nghiêm trọng nhất kể từ tháng 2 năm 2025; các sự kiện chính bao gồm lỗ hổng Kelp DAO rsETH (2,92 tỷ USD), cuộc tấn công kỹ thuật xã hội của Drift Protocol (2,85 tỷ USD), cùng với việc khai thác lỗ hổng từ các dự án như Mantra Chain và Lista DAO.
Câu hỏi thường gặp
Thời điểm xảy ra vụ tấn công và nguyên nhân kỹ thuật của Aftermath Finance là gì?
Theo phân tích kỹ thuật của GoPlus và tuyên bố chính thức của Aftermath Finance, vụ tấn công diễn ra vào ngày 29 tháng 4 năm 2026. Kẻ tấn công khai thác quyền ADMIN của hàm add_integrator_config và lỗ hổng không khớp ký hiệu trong hàm calculate_taker_fees; bằng cách thiết lập builder code fees âm để rút lặp lại nhiều lần, xác nhận thiệt hại là 1,14 triệu USD.
Aftermath Finance đảm bảo thế nào để người dùng nhận được bồi hoàn toàn bộ?
Theo tuyên bố chính thức của Aftermath Finance, với sự hỗ trợ của Mysten Labs và Sui Foundation, tất cả người dùng bị ảnh hưởng sẽ được bồi hoàn toàn bộ; Aftermath Finance cho biết hiện đang tiếp tục công việc thu hồi tiền.
Vụ tấn công này có liên quan đến lỗ hổng bảo mật của ngôn ngữ Sui Move không?
Theo tuyên bố chính thức của Aftermath Finance, vụ tấn công này không phải là vấn đề bảo mật của chính ngôn ngữ hợp đồng Move, mà do lỗi cấu hình phí trong logic hợp đồng của một giao thức cụ thể gây ra; các sản phẩm khác như giao dịch giao ngay, staking thanh khoản afSUI và các pool AMM đều không bị ảnh hưởng.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
PayPal tái cơ cấu 3 mảng kinh doanh chính, tiền mã hóa và PYUSD trở thành các bộ phận cốt lõi
PayPal vào ngày 30 tháng 4 đã chính thức công bố tái cơ cấu chiến lược, đơn giản hóa mô hình kinh doanh thành ba mảng cốt lõi: giải pháp thanh toán và PayPal, dịch vụ tài chính cho người tiêu dùng và Venmo, cùng với dịch vụ thanh toán và tiền mã hóa; trong đó mảng dịch vụ thanh toán và tiền mã hóa được tách riêng, tích hợp Braintree, xử lý cho doanh nghiệp vừa và nhỏ, dịch vụ gia tăng và mảng tiền mã hóa (bao gồm stablecoin PYUSD).
MarketWhisper8phút trước
OKX ra mắt giao thức thanh toán cho tác nhân (Agent Payments) cho các chu kỳ kinh doanh AI
Sàn giao dịch crypto OKX đã giới thiệu Giao thức Thanh toán dành cho Agent (Agent Payments Protocol, APP) vào hôm thứ Tư, định vị đây là một tiêu chuẩn mở cho các khoản thanh toán theo kiểu agent nhằm hỗ trợ trọn vẹn chu kỳ kinh doanh cho các tác nhân AI. Thông báo này diễn ra sau các đề xuất tương tự, bao gồm x402, một giao thức mở do Coinbase ươm mầm, và
CryptoFrontier1giờ trước
Kite khởi động mạng chính, ra mắt lớp kiểm soát thanh toán ủy quyền cho AI Agent
Theo thông báo chính thức của Kite, hạ tầng thanh toán Kite dành cho nền kinh tế AI Agent đã chính thức ra mắt mainnet vào ngày 30 tháng 4; trong thời gian triển khai mainnet, Kite Treasury sẽ thanh toán phí mạng thay người dùng, người dùng không cần phải cảm nhận gas. Kite cũng đồng thời mở cho công chúng Kite Agent Passport, đóng vai trò là lớp ủy quyền và kiểm soát thanh toán cho Agent.
MarketWhisper1giờ trước
Pump.fun Ra mắt Tính năng Charity Coins vào ngày 30 tháng 4, cho phép quyên góp phí trực tiếp cho người sáng tạo tới hơn 10.000+ tổ chức từ thiện được chứng nhận
Theo SolanaFloor, Pump.fun đã ra mắt tính năng Charity Coins (Phí từ thiện) phối hợp với Donate vào ngày 30/4, cho phép các nhà sáng tạo chuyển phí dành cho nhà tạo meme coin sang hơn 10.000 tổ chức từ thiện đã được chứng nhận. Tính năng này nhằm giảm rủi ro về thuế, hạn chế gian lận và đảm bảo tuân thủ việc quyên góp và
GateNews2giờ trước
Sky Protocol đạt kỷ lục 123,79 triệu USD doanh thu trong Q1, tăng 28,9% so với cùng kỳ năm ngoái
Theo Sky Frontier Foundation, doanh thu theo quý của Sky protocol đạt 123,79 triệu USD trong Q1 2026, tăng 28,9% so với cùng kỳ năm trước và 56,8% so với quý trước, thiết lập kỷ lục cho giao thức. Thặng dư ròng đạt 46,04 triệu USD, tương đương 92,4% thặng dư ròng cả năm 2025.
Protocol
GateNews2giờ trước
Cập nhật tài liệu chính thức của Hyperliquid: HIP-4 cho phép miễn phí mở vị thế đối với token kết quả
Theo bản cập nhật ngày 30 tháng 4 từ tài liệu chính thức của Hyperliquid, đội ngũ Hyperliquid đã nêu rõ trong tài liệu về logic tính phí của token kết quả HIP-4. Quy tắc cốt lõi là: token kết quả chỉ bị thu phí khi đóng vị thế hoặc trong quá trình thanh toán; khi mở vị thế thì không thu phí. Công thức phí hiện đã được công bố cho các nhà phát triển. Tháng 3, Hyperliquid công bố việc triển khai thử nghiệm testnet cho HIP-4.
MarketWhisper2giờ trước
