Aftermath Finance 遭攻擊損失 114 萬，Mysten Labs 支持全額補償用戶

根據 GoPlus 於 4 月 30 日發布的攻擊事件技術分析及 Aftermath Finance 官方聲明，Sui 鏈上永續合約平台 Aftermath Finance 於 4 月 29 日遭攻擊，損失超過 114 萬美元，項目方宣布在 Mysten Labs 及 Sui 基金會的支持下，所有用戶將獲得全額補償。

攻擊原理：ADMIN 權限被盜用與費用符號漏洞

根據 GoPlus 技術分析，攻擊者涉嫌盜用 add_integrator_config 函數的 ADMIN 權限，隨後利用 calculate_taker_fees 函數中的符號不符漏洞，重複多次提取代幣獲利。

根據 Aftermath Finance 官方聲明，被利用的核心機制為「建置程式碼費用」（builder code fees）——一種將部分交易費用回饋給整合前端或訂單路由服務的機制；聲明指出，合約邏輯「錯誤地允許設定負的建置程式碼費用」，此設計缺陷使攻擊者得以配置低於零的費用值，進而持續從協議提取資金。

Aftermath Finance 聲明說明，攻擊影響範圍僅限於永續合約協議；現貨交易、跨協議智慧路由器、afSUI 流動性質押衍生品及 AMM 池均未受影響，並保持正常運行。Aftermath Finance 同時強調，此次攻擊並非 Move 合約語言本身的安全問題。

攻擊者關聯的 Sui 錢包地址 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e 已透過 Sui 區塊瀏覽器 Suivision 進行公開追蹤。

Aftermath Finance 回應與補償方案

根據 Aftermath Finance 聯合創始人 airtx 在 X 平台的公開聲明，攻擊發生後，Aftermath Finance 團隊已暫停惡意交易，並與鏈上安全公司 Blockaid 在「作戰室」（war room）中共同進行恢復工作；Blockaid 為 MetaMask、Coinbase 及其他主流錢包信賴的鏈上安全平台，負責協助攻擊向量分析及攻擊者錢包追蹤。

根據 Aftermath Finance 最新公告，在 Mysten Labs 及 Sui 基金會的支持下，所有受影響用戶將獲得全額補償；Aftermath Finance 表示，目前正持續進行資金追回工作。

Sui DeFi 生態攻擊背景

根據業界報道，2026 年 4 月 Sui 生態系統連續發生多起安全事件：Volo 金庫遭攻擊損失約 350 萬美元（約 60% 已追回）；Scallop 於攻擊發生前兩日披露針對已棄用 sSUI 獎勵合約的閃電貸漏洞，損失 14.2 萬美元。

根據業界統計，2026 年 4 月整體 DeFi 漏洞損失已超過 6.06 億美元，為自 2025 年 2 月以來最嚴重的月份之一；主要事件包括 Kelp DAO rsETH 漏洞（2.92 億美元）、Drift Protocol 社會工程攻擊（2.85 億美元），以及 Mantra Chain、Lista DAO 等項目的漏洞利用。

常見問題

Aftermath Finance 攻擊事件發生時間及技術原因為何？

根據 GoPlus 技術分析及 Aftermath Finance 官方聲明，攻擊於 2026 年 4 月 29 日發生，攻擊者利用 add_integrator_config 函數的 ADMIN 權限及 calculate_taker_fees 函數的符號不符漏洞，透過設定負的建置程式碼費用重複提取代幣，確認損失為 114 萬美元。

Aftermath Finance 如何確保用戶資金獲得全額補償？

根據 Aftermath Finance 官方聲明，在 Mysten Labs 及 Sui 基金會的支持下，所有受影響用戶將獲得全額補償；Aftermath Finance 表示目前正持續進行資金追回工作。

此次攻擊是否涉及 Sui Move 語言的安全漏洞？

根據 Aftermath Finance 官方聲明，此次攻擊並非 Move 合約語言本身的安全問題，而是特定協議合約邏輯中的費用配置錯誤所致；現貨交易、afSUI 流動性質押及 AMM 池等其他產品均未受影響。