Nạn nhân vụ khai thác Sui Perps nhận được một bảng tính, một cảnh báo và thời hạn vào thứ Hai

Aftermath Finance công bố danh sách đầy đủ các ví bị ảnh hưởng trong vụ khai thác Sui Perps trị giá 1,1 triệu USD. Yêu cầu bồi thường mở vào thứ Hai, nhưng một số số dư có thể không khớp.

Một Google Sheet, được @AftermathFi chia sẻ công khai trên X, liệt kê mọi ví bị dính vào vụ khai thác ngày 29 tháng 4 đã rút cạn khoảng 1,1 triệu USD từ sản phẩm hợp đồng vĩnh cửu của giao thức trên Sui.

Yêu cầu bồi thường chưa mở cho đến thứ Hai. Nhóm muốn người dùng kiểm tra dòng của mình trước thời điểm đó.

Dòng dữ liệu có thể không khớp với những gì bạn đã mất

"Một số số dư có thể cần đối chiếu do các lần rút tiền được thực hiện trong khoảng thời gian tài sản thế chấp bị thiếu hụt," Aftermath đăng trên X. Bất kỳ ai có số tiền trông không đúng đều được yêu cầu mở ticket Discord hoặc nhắn tin trực tiếp cho nhóm kèm theo dữ liệu giao dịch của họ.

Bảng các tài khoản bị ảnh hưởng có thể truy cập tại liên kết Google Sheets đầy đủ được nhóm công bố. Không phải con số của mọi người đều sẽ chính xác.

Tuy nhiên, có một điều có thể thực hiện ngay bây giờ: tài sản thế chấp nhàn rỗi. Trong một bài đăng riêng trên X, @AftermathFi xác nhận người dùng có tài sản thế chấp trong tài khoản đã có thể rút mà không cần chờ đến thứ Hai.

Làm thế nào 1,1 triệu USD biến mất trong chưa đầy 40 phút

Vụ tấn công diễn ra rất nhanh. Như đã được đưa tin trước đó, kẻ tấn công lần đầu xuất hiện vào ngày 28 tháng 4 với 405 SUI. Đến sáng hôm sau, khoảng 278 USDC tài sản thế chấp ban đầu đã được tập hợp thông qua một giao dịch hoán đổi SOR.

Những gì diễn ra tiếp theo rất có hệ thống. Theo báo cáo hậu sự kiện đầy đủ của Aftermath trên X, mười bảy lần thử rút cạn tiếp theo đã diễn ra từ 15:55 đến 16:31 (Giờ VN) ngày 29 tháng 4. Mười một lần thành công. Sáu lần thất bại.

Nguyên nhân gốc rễ là lỗi số nguyên có dấu trong logic kế toán của integrator. Kẻ tấn công có thể đăng ký làm integrator của chính mình, đặt phí taker âm 100.000, và rút tài sản thế chấp tổng hợp ra dưới dạng USDC thực. Mỗi trong số 11 giao dịch thành công là một PTB duy nhất mở hai tài khoản, thực hiện lệnh thị trường với một đối tác thực, rồi rút tiền.

Lỗ hổng được đưa vào ngày 29 tháng 8 năm 2025. @osec_io đã kiểm toán các thay đổi vào tháng 11. Vấn đề đã bị bỏ sót.

Sau khi rút cạn, tiền thu được chuyển qua các ví dùng một lần mới. Theo báo cáo hậu sự kiện của @AftermathFi, khoảng 250.000 USD USDC chuyển đến Binance, khoảng 400.000 USD USDC đến KuCoin, khoảng 150.000 USD bằng SUI đến HTX, và khoảng 150.000 USD USDC đến HitBTC, tất cả trong khoảng 80 phút. Các mối lo ngại về bảo mật của Sui đang ngày càng gia tăng trên nhiều giao thức trong những tuần gần đây.

Công cụ AI, kiểm toán lần hai và những gì sắp xảy ra

Nhóm không tái khởi động AFperps ngay lập tức. Một cuộc kiểm toán bổ sung đang được tiến hành với một công ty riêng biệt, @AftermathFi cho biết. Nhóm thẳng thắn thừa nhận rằng việc xem xét thủ công "là không đủ trong năm 2026."

Cách diễn đạt này đã trở nên phổ biến. Aftermath lưu ý rằng họ nằm trong số gần một chục giao thức bị khai thác chỉ trong tuần này. Phản ứng hiện nay bao gồm đầu tư nhiều hơn vào quy trình làm việc bảo mật AI, mặc dù không có chi tiết cụ thể nào về công cụ được chia sẻ.

Blockaid, ZeroShadow, OtterSec, Sui Foundation và Mysten Labs đều được ghi nhận vì phản ứng nhanh chóng. Giao thức rộng hơn, bao gồm afSui, các pool, farm, aggregator và SOR, vẫn không bị ảnh hưởng trong suốt thời gian xảy ra sự cố.

Thứ Hai vẫn là ngày yêu cầu bồi thường. Đối chiếu dữ liệu trước thời điểm đó là điều nhóm đang yêu cầu.

Bài viết Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline xuất hiện đầu tiên trên Live Bitcoin News.