Aftermath Finance 遭攻击损失 114 万，Mysten Labs 支持全额补偿用户

根据 GoPlus 于 4 月 30 日发布的攻击事件技术分析及 Aftermath Finance 官方声明，Sui 链上永续合约平台 Aftermath Finance 于 4 月 29 日遭攻击，损失超过 114 万美元，项目方宣布在 Mysten Labs 及 Sui 基金会的支持下，所有用户将获得全额补偿。

攻击原理：ADMIN 权限被盗用与费用符号漏洞

根据 GoPlus 技术分析，攻击者涉嫌盗用 add_integrator_config 函数的 ADMIN 权限，随后利用 calculate_taker_fees 函数中的符号不符漏洞，重复多次提取代币获利。

根据 Aftermath Finance 官方声明，被利用的核心机制为“构建代码费用”（builder code fees）——一种将部分交易费用回馈给整合前端或订单路由服务的机制；声明指出，合约逻辑“错误地允许设置负的构建代码费用”，此设计缺陷使攻击者得以配置低于零的费用值，进而持续从协议提取资金。

Aftermath Finance 声明说明，攻击影响范围仅限于永续合约协议；现货交易、跨协议智能路由器、afSUI 流动性质押衍生品及 AMM 池均未受影响，并保持正常运行。Aftermath Finance 同时强调，此次攻击并非 Move 合约语言本身的安全问题。

攻击者关联的 Sui 钱包地址 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e 已通过 Sui 区块浏览器 Suivision 进行公开追踪。

Aftermath Finance 回应与补偿方案

根据 Aftermath Finance 联合创始人 airtx 在 X 平台的公开声明，攻击发生后，Aftermath Finance 团队已暂停恶意交易，并与链上安全公司 Blockaid 在“作战室”（war room）中共同进行恢复工作；Blockaid 为 MetaMask、Coinbase 及其他主流钱包信赖的链上安全平台，负责协助攻击向量分析及攻击者钱包追踪。

根据 Aftermath Finance 最新公告，在 Mysten Labs 及 Sui 基金会的支持下，所有受影响用户将获得全额补偿；Aftermath Finance 表示，目前正持续进行资金追回工作。

Sui DeFi 生态攻击背景

根据业界报道，2026 年 4 月 Sui 生态系统连续发生多起安全事件：Volo 金库遭攻击损失约 350 万美元（约 60% 已追回）；Scallop 于攻击发生前两日披露针对已弃用 sSUI 奖励合约的闪电贷漏洞，损失 14.2 万美元。

根据业界统计，2026 年 4 月整体 DeFi 漏洞损失已超过 6.06 亿美元，为自 2025 年 2 月以来最严重的月份之一；主要事件包括 Kelp DAO rsETH 漏洞（2.92 亿美元）、Drift Protocol 社会工程攻击（2.85 亿美元），以及 Mantra Chain、Lista DAO 等项目的漏洞利用。

常见问题

Aftermath Finance 攻击事件发生时间及技术原因为何？

根据 GoPlus 技术分析及 Aftermath Finance 官方声明，攻击于 2026 年 4 月 29 日发生，攻击者利用 add_integrator_config 函数的 ADMIN 权限及 calculate_taker_fees 函数的符号不符漏洞，通过设置负的构建代码费用重复提取代币，确认损失为 114 万美元。

Aftermath Finance 如何确保用户资金获得全额补偿？

根据 Aftermath Finance 官方声明，在 Mysten Labs 及 Sui 基金会的支持下，所有受影响用户将获得全额补偿；Aftermath Finance 表示目前正持续进行资金追回工作。

此次攻击是否涉及 Sui Move 语言的安全漏洞？

根据 Aftermath Finance 官方声明，此次攻击并非 Move 合约语言本身的安全问题，而是特定协议合约逻辑中的费用配置错误所致；现货交易、afSUI 流动性质押及 AMM 池等其他产品均未受影响。