Sui Network 上主流DEX Aftermath Finance 旗下的永续合约（Perpetuals）产品4 月29 日遭黑，攻击者在约36 分钟内透过11 笔交易抽走约114 万美元USDC▲。事件由区块链安全公司Blockaid 即时侦测并通报，于X 平台公告，目前Aftermath 已暂停受影响产品。

攻击细节：36 分钟、11 笔交易、114 万USDC

Blockaid 公告中具名攻击者钱包地址为0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e。攻击执行速度极快—从第一笔异常交易到第十一笔交易完成、攻击收网，全程仅约36 分钟。被抽走的114 万美元USDC▲全数来自Aftermath 永续合约产品的协议金库。

Aftermath Finance 是Sui Network 上最具规模的去中心化交易所之一。攻击发生前，光是其永续合约产品就已占Sui 链整体交易量约1/8、gas 消耗约12%。换句话说，这次事件影响的不只是Aftermath 一个协议，也对整个Sui 生态当下的链上活动构成短暂真空。

漏洞机制：builder code fees 可被设为负值，膨胀合成抵押品

根据Blockaid 与Aftermath 后续说明，漏洞并不在Perps 核心智能合约本身，而是在「builder code fees」（建构者代码费用）的记帐逻辑中—协议错误地允许这个费率被设为负数值。攻击者借此把合成抵押品（synthetic collat​​eral）人为地膨胀，再以这个被膨胀的抵押品为基础、从协议金库提领超额资金。

这种类型的漏洞是DeFi 协议常见的「状态变数边界检查不足」问题：开发者在设计fee 变数时假设它永远是正数，没有对「负值情境」做防呆处理。一旦攻击者找到能让变数进入负值区间的路径，原本以为不会发生的数学运算就会出现预期外的后果—本案中是合成抵押品的虚假膨胀。

Aftermath 回应：暂停永续、Swap／质押／MEV 不受影响

Aftermath 团队确认事件后立即暂停永续合约产品，并强调本次漏洞「仅限永续产品，其他服务包括swap、质押、MEV 基础设施都未受影响」。团队表示目前重心放在「资金恢复」—但截至发稿，Aftermath 并未公布是否已与被攻击资金所流向的中心化交易所协调冻结，也没有公布补偿用户的具体机制与时程。

Aftermath 建议仍持有开仓部位的用户检查自己的钱包活动、并密切关注团队后续官方更新。对Sui 生态而言，后续观察点包括：Aftermath 暂停期间其他Sui 永续DEX（例如Bluefin、FlowX）是否吸纳流动性、被骇资金是否能顺利冻结或追回，以及Aftermath 重启前是否会公布完整的安全审计报告。

4/29 22:15（北京时间）更新：所有用户将获全额补偿

事件公告后约3 小时，Aftermath Finance 于X 平台发布更新，宣布在Sui 母公司Mysten Labs 与Sui Foundation 的支持下，「所有用户将获全额补偿，没有任何人会损失资产」（”all users will be made whole, ZERO losses for anyone”）。 Aftermath 同时确认协议将很快重新上线，并感谢Blockaid 的快速通报。

Aftermath 在更新中特别澄清一点：「这次漏洞不是Move 合约语言层级的安全问题」。这个澄清是针对Sui 生态安全讨论的：Sui 采用Move 程式语言以「资源安全」为设计目标，过去常被引用为相对Solidity 而言更安全的合约环境。 Aftermath 强调本次漏洞属于应用层级的会计逻辑设计缺陷（builder code fees 边界处理），不是Move 语言层级的弱点，避免市场把这次事件外推为「Move／Sui 整体不安全」的结论。

Mysten Labs 与Sui Foundation 的补偿出资机制细节（资金来源、补偿时程、是否使用基金会储备）目前尚未公开，但这个快速且高层级的回应为Sui 生态DeFi 安全形象提供了重要的信心修复—对比某些链上DeFi 骇客事件后用户长期等待补偿的情境，本次处理速度算是业界积极的范例。

本文链接地址：https://www.wwsww.cn/Stablecoin/38553.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。