Vítimas do exploit Sui Perps recebem uma folha, um aviso e um prazo até segunda-feira

A Aftermath Finance divulga uma lista completa de carteiras afetadas no exploit de $1,1M do Sui Perps. Os pedidos de compensação abrem na segunda-feira, mas alguns saldos podem não corresponder.

Uma Google Sheet, partilhada publicamente pelo @AftermathFi no X, lista todas as carteiras apanhadas no exploit de 29 de abril que drenou cerca de $1,1 milhão do produto de perpétuos do protocolo na Sui.

Os pedidos de compensação só abrem na segunda-feira. A equipa quer que os utilizadores verifiquem a sua linha antes disso.

A linha que pode não corresponder ao que perdeu

"Alguns saldos podem necessitar de reconciliação devido a saques efetuados durante a janela de subcolateralização," publicou a Aftermath no X. Quem tiver um valor incorreto é solicitado a abrir um ticket no Discord ou enviar uma DM diretamente à equipa com os seus dados de transação.

A folha de contas afetadas está acessível através do link completo do Google Sheets publicado pela equipa. Nem todos os valores serão exatos.

Uma coisa que já é possível fazer agora: retirar colateral inativo. Numa publicação separada no X, o @AftermathFi confirmou que os utilizadores com colateral nas contas já o podem levantar sem esperar pela segunda-feira.

Como $1,1M saiu em menos de 40 minutos

A violação decorreu rapidamente. Conforme anteriormente noticiado, o atacante surgiu pela primeira vez a 28 de abril com 405 SUI. Na manhã seguinte, cerca de 278 USDC em colateral inicial tinha sido reunido através de uma troca SOR.

O que se seguiu foi sistemático. De acordo com o postmortem completo da Aftermath no X, dezassete tentativas de drenagem ocorreram entre as 08:55 e as 09:31 UTC de 29 de abril. Onze tiveram sucesso. Seis falharam.

A origem foi uma falha de inteiro com sinal na lógica de contabilidade do integrador. Um atacante podia registar-se como seu próprio integrador, definir uma taxa de taker negativa de 100.000 e extrair colateral sintético como USDC real. Cada uma das 11 transações bem-sucedidas era um único PTB que abria duas contas, executava uma ordem de mercado contra uma contraparte real e, em seguida, efetuava o levantamento.

A vulnerabilidade foi introduzida a 29 de agosto de 2025. O @osec_io auditou as alterações em novembro. O problema passou despercebido.

Após a drenagem, os fundos moveram-se através de carteiras descartáveis recém-criadas. De acordo com o postmortem do @AftermathFi, cerca de $250K USDC foram para a Binance, aproximadamente $400K USDC para a KuCoin, cerca de $150K em SUI para a HTX, e em torno de $150K USDC para a HitBTC, tudo em cerca de 80 minutos. As preocupações de segurança da Sui têm vindo a aumentar em vários protocolos nas últimas semanas.

Ferramentas de IA, uma segunda auditoria e o que vem a seguir

A equipa não vai relançar os AFperps de imediato. Está em curso uma auditoria adicional com uma empresa separada, disse o @AftermathFi. A revisão manual, reconheceu a equipa diretamente, "é insuficiente em 2026."

Esse enquadramento tornou-se comum. A Aftermath referiu que estava entre quase uma dúzia de protocolos atingidos por exploits apenas nesta semana. A resposta inclui agora um investimento mais elevado em fluxos de trabalho de segurança com IA, embora não tenham sido partilhadas especificidades sobre as ferramentas.

A Blockaid, a ZeroShadow, a OtterSec, a Sui Foundation e os Mysten Labs foram reconhecidos pela resposta rápida. O protocolo mais amplo, incluindo afSui, pools, farms, agregador e SOR, permaneceu intacto ao longo de todo o processo.

A segunda-feira continua a ser a data para os pedidos. A reconciliação das linhas antes dessa data é o que a equipa está a pedir.

The post Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline appeared first on Live Bitcoin News.