Ofiary exploita Sui Perps otrzymują arkusz, ostrzeżenie i termin na poniedziałek

Aftermath Finance publikuje pełną listę portfeli dotkniętych exploitem Sui Perps na kwotę 1,1 mln USD. Wnioski o odszkodowanie otwierają się w poniedziałek, ale niektóre salda mogą się nie zgadzać.

Arkusz Google, udostępniony publicznie przez @AftermathFi na X, zawiera listę wszystkich portfeli dotkniętych exploitem z 29 kwietnia, który wyczerpał około 1,1 miliona dolarów z produktu perpetuals protokołu na Sui.

Wnioski o odszkodowanie nie otwierają się aż do poniedziałku. Zespół prosi użytkowników o sprawdzenie swojego wiersza przed tym terminem.

Wiersz, który może nie zgadzać się z tym, co straciłeś

„Niektóre salda mogą wymagać uzgodnienia z powodu wypłat dokonanych w oknie niedostatecznego zabezpieczenia," opublikował Aftermath na X. Każdy, czyja kwota wydaje się nieprawidłowa, jest proszony o otwarcie zgłoszenia na Discordzie lub bezpośrednie wysłanie wiadomości do zespołu z danymi transakcji.

Arkusz z dotkniętymi kontami jest dostępny pod pełnym linkiem do Google Sheets opublikowanym przez zespół. Nie każda liczba będzie prawidłowa.

Jedna rzecz jest jednak możliwa już teraz: bezczynne zabezpieczenie. W osobnym poście na X, @AftermathFi potwierdził, że użytkownicy z zabezpieczeniem znajdującym się na kontach mogą je już wypłacić bez czekania do poniedziałku.

Jak 1,1 mln USD zniknęło w niecałe 40 minut

Sam atak rozegrał się szybko. Jak wcześniej donoszono, atakujący pojawił się po raz pierwszy 28 kwietnia z 405 SUI. Do następnego ranka zgromadzono około 278 USDC w zabezpieczeniu początkowym za pomocą swapu SOR.

To, co nastąpiło później, było systematyczne. Według pełnego postmortem Aftermath na X, między 08:55 a 09:31 UTC 29 kwietnia nastąpiło siedemnaście prób opróżnienia. Jedenaście się powiodło. Sześć nie.

Przyczyną była wada liczby całkowitej ze znakiem w logice rozliczania integratora. Atakujący mógł zarejestrować się jako własny integrator, ustawić ujemną opłatę taker w wysokości 100 000 i wypłacić syntetyczne zabezpieczenie jako prawdziwe USDC. Każda z 11 udanych transakcji była pojedynczym PTB, który otwierał dwa konta, realizował zlecenie rynkowe wobec prawdziwego kontrahenta, a następnie wypłacał środki.

Luka została wprowadzona 29 sierpnia 2025 roku. @osec_io przeprowadził audyt zmian w listopadzie. Problem został przeoczony.

Po opróżnieniu środki przeszły przez świeże jednorazowe portfele. Zgodnie z postmortem @AftermathFi, około 250 tys. USDC trafiło na Binance, około 400 tys. USDC na KuCoin, około 150 tys. w SUI na HTX i około 150 tys. USDC na HitBTC – wszystko w ciągu około 80 minut. Obawy dotyczące bezpieczeństwa Sui narastają w wielu protokołach w ostatnich tygodniach.

Narzędzia AI, drugi audyt i co będzie dalej

Zespół nie wznawia natychmiast działania AFperps. Trwa dodatkowy audyt z inną firmą, poinformował @AftermathFi. Ręczny przegląd, jak bezpośrednio przyznał zespół, „jest niewystarczający w 2026 roku."

To podejście stało się powszechne. Aftermath zauważył, że był jednym z prawie tuzina protokołów dotkniętych exploitami tylko w tym tygodniu. Odpowiedź obejmuje teraz większe inwestycje w przepływy pracy z zakresu bezpieczeństwa AI, choć nie podano szczegółów dotyczących narzędzi.

Blockaid, ZeroShadow, OtterSec, Sui Foundation i Mysten Labs zostały docenione za szybką reakcję. Szerszy protokół, w tym afSui, pule, farmy, agregator i SOR, pozostał nienaruszony przez cały czas.

Poniedziałek pozostaje datą składania wniosków. Uzgodnienie wierszy przed tym terminem to to, o co prosi zespół.

Wpis Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline pojawił się jako pierwszy na Live Bitcoin News.