قربانیان اکسپلویت Sui Perps یک فهرست، یک هشدار و یک مهلت روز دوشنبه دریافت می‌کنند

Aftermath Finance فهرست کامل کیف پول‌های آسیب‌دیده در اکسپلویت ۱.۱ میلیون دلاری Sui Perps را منتشر کرد. درخواست‌های جبران خسارت از دوشنبه باز می‌شود، اما برخی موجودی‌ها ممکن است مطابقت نداشته باشند.

یک Google Sheet، که توسط @AftermathFi در X به‌صورت عمومی به اشتراک گذاشته شده، هر کیف پولی را که در اکسپلویت ۲۹ آوریل (۱۴۰۴/۰۲/۰۹) گرفتار شده و حدود ۱.۱ میلیون دلار از محصول پرپچوال پروتکل در Sui تخلیه کرده، فهرست می‌کند.

درخواست‌های جبران خسارت تا دوشنبه باز نمی‌شوند. تیم می‌خواهد کاربران قبل از آن ردیف خود را بررسی کنند.

ردیفی که ممکن است با آنچه از دست داده‌اید مطابقت نداشته باشد

«برخی موجودی‌ها ممکن است به دلیل برداشت‌هایی که در بازه زمانی کم‌وثیقه انجام شده، نیاز به تطبیق داشته باشند،» Aftermath در X اعلام کرد. از هر کسی که مبلغ آن نادرست به نظر می‌رسد خواسته می‌شود یک تیکت Discord باز کند یا مستقیماً با داده‌های تراکنش خود با تیم تماس بگیرد.

شیت حساب‌های آسیب‌دیده از طریق لینک کامل Google Sheets منتشرشده توسط تیم قابل دسترسی است. عدد همه افراد دقیق نخواهد بود.

با این حال، یک چیز می‌تواند همین الان اتفاق بیفتد: وثیقه بلااستفاده. در یک پست جداگانه در X، @AftermathFi تأیید کرد کاربرانی که وثیقه‌ای در حساب‌هایشان دارند می‌توانند بدون انتظار تا دوشنبه آن را برداشت کنند.

چگونه ۱.۱ میلیون دلار در کمتر از ۴۰ دقیقه خارج شد

نقض امنیتی خود به سرعت اتفاق افتاد. طبق گزارش‌های قبلی، مهاجم برای اولین بار در ۲۸ آوریل (۱۴۰۴/۰۲/۰۸) با ۴۰۵ SUI ظاهر شد. تا صبح روز بعد، حدود ۲۷۸ USDC به عنوان وثیقه اولیه از طریق یک SOR swap جمع‌آوری شده بود.

آنچه بعد از آن آمد سیستماتیک بود. طبق گزارش کامل پسامرگ Aftermath در X، هفده تلاش برای تخلیه بین ساعت ۰۸:۵۵ و ۰۹:۳۱ UTC در ۲۹ آوریل (۱۴۰۴/۰۲/۰۹) دنبال شد. یازده تلاش موفق بود. شش تلاش ناموفق ماند.

ریشه مشکل یک نقص عدد صحیح علامت‌دار در منطق حسابداری integrator بود. یک مهاجم می‌توانست به عنوان integrator خود ثبت‌نام کند، یک کارمزد taker منفی ۱۰۰,۰۰۰ تنظیم کند، و دارایی‌های مصنوعی را به عنوان USDC واقعی خارج کند. هر یک از ۱۱ تراکنش موفق یک PTB منفرد بود که دو حساب باز کرد، یک سفارش بازار در برابر یک طرف مقابل واقعی اجرا کرد، سپس برداشت انجام داد.

این آسیب‌پذیری در ۲۹ اوت ۲۰۲۵ (۱۴۰۴/۰۶/۰۷) معرفی شد. @osec_io تغییرات را در نوامبر (آبان) حسابرسی کرد. مشکل نادیده گرفته شد.

پس از تخلیه، عواید از طریق کیف پول‌های تازه تک‌استفاده جابجا شدند. طبق گزارش پسامرگ @AftermathFi، حدود ۲۵۰ هزار دلار USDC به بایننس، حدود ۴۰۰ هزار دلار USDC به KuCoin، تقریباً ۱۵۰ هزار دلار SUI به HTX، و حدود ۱۵۰ هزار دلار USDC به HitBTC رفت، همه اینها در حدود ۸۰ دقیقه. نگرانی‌های امنیتی Sui در هفته‌های اخیر در چندین پروتکل در حال افزایش بوده است.

ابزار هوش مصنوعی، حسابرسی دوم، و آنچه در پیش است

تیم قرار نیست AFperps را فوراً راه‌اندازی مجدد کند. @AftermathFi گفت که یک حسابرسی اضافی با یک شرکت جداگانه در حال انجام است. تیم صراحتاً اذعان کرد که بررسی دستی «در سال ۲۰۲۶ کافی نیست.»

این چارچوب‌بندی رایج شده است. Aftermath اشاره کرد که در میان تقریباً یک دوجین پروتکل بود که تنها در این هفته مورد اکسپلویت قرار گرفتند. پاسخ اکنون شامل سرمایه‌گذاری بیشتر در گردش‌کار امنیتی مبتنی بر هوش مصنوعی است، هرچند جزئیاتی درباره ابزارها به اشتراک گذاشته نشد.

Blockaid، ZeroShadow، OtterSec، بنیاد Sui، و Mysten Labs همگی برای پاسخ سریع مورد تقدیر قرار گرفتند. پروتکل گسترده‌تر، از جمله afSui، استخرها، مزارع، aggregator، و SOR، در طول این مدت دست‌نخورده باقی ماند.

دوشنبه همچنان تاریخ ثبت درخواست است. تطبیق ردیف‌ها قبل از آن چیزی است که تیم درخواست می‌کند.

این مطلب با عنوان Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline اولین بار در Live Bitcoin News منتشر شد.