Sui DEX Aftermath 遭駭:抽走 114 萬 USDC
Sui Network 上主流 DEX Aftermath Finance 旗下的永續合約(Perpetuals)產品 4 月 29 日遭駭,攻擊者在約 36 分鐘內透過 11 筆交易抽走約 114 萬美元 USDC。事件由區塊鏈安全公司 Blockaid 即時偵測並通報,於 X 平台公告,目前 Aftermath 已暫停受影響產品。
攻擊細節:36 分鐘、11 筆交易、114 萬 USDC
Blockaid 公告中具名攻擊者錢包地址為 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e。攻擊執行速度極快—從第一筆異常交易到第十一筆交易完成、攻擊收網,全程僅約 36 分鐘。被抽走的 114 萬美元 USDC 全數來自 Aftermath 永續合約產品的協議金庫。
Aftermath Finance 是 Sui Network 上最具規模的去中心化交易所之一。攻擊發生前,光是其永續合約產品就已佔 Sui 鏈整體交易量約 1/8、gas 消耗約 12%。換句話說,這次事件影響的不只是 Aftermath 一個協議,也對整個 Sui 生態當下的鏈上活動構成短暫真空。
廣告 - 內文未完請往下捲動
漏洞機制:builder code fees 可被設為負值,膨脹合成抵押品
根據 Blockaid 與 Aftermath 後續說明,漏洞並不在 Perps 核心智能合約本身,而是在「builder code fees」(建構者代碼費用)的記帳邏輯中—協議錯誤地允許這個費率被設為負數值。攻擊者藉此把合成抵押品(synthetic collateral)人為地膨脹,再以這個被膨脹的抵押品為基礎、從協議金庫提領超額資金。
這種類型的漏洞是 DeFi 協議常見的「狀態變數邊界檢查不足」問題:開發者在設計 fee 變數時假設它永遠是正數,沒有對「負值情境」做防呆處理。一旦攻擊者找到能讓變數進入負值區間的路徑,原本以為不會發生的數學運算就會出現預期外的後果—本案中是合成抵押品的虛假膨脹。
Aftermath 回應:暫停永續、Swap/質押/MEV 不受影響
Aftermath 團隊確認事件後立即暫停永續合約產品,並強調本次漏洞「僅限永續產品,其他服務包括 swap、質押、MEV 基礎設施都未受影響」。團隊表示目前重心放在「資金恢復」—但截至發稿,Aftermath 並未公布是否已與被攻擊資金所流向的中心化交易所協調凍結,也沒有公布補償用戶的具體機制與時程。
Aftermath 建議仍持有開倉部位的用戶檢查自己的錢包活動、並密切關注團隊後續官方更新。對 Sui 生態而言,後續觀察點包括:Aftermath 暫停期間其他 Sui 永續 DEX(例如 Bluefin、FlowX)是否吸納流動性、被駭資金是否能順利凍結或追回,以及 Aftermath 重啟前是否會公布完整的安全審計報告。
4/29 22:15(台灣時間)更新:所有用戶將獲全額補償
事件公告後約 3 小時,Aftermath Finance 於 X 平台發布更新,宣布在 Sui 母公司 Mysten Labs 與 Sui Foundation 的支持下,「所有用戶將獲全額補償,沒有任何人會損失資產」(”all users will be made whole, ZERO losses for anyone”)。Aftermath 同時確認協議將很快重新上線,並感謝 Blockaid 的快速通報。
Aftermath 在更新中特別澄清一點:「這次漏洞不是 Move 合約語言層級的安全問題」。這個澄清是針對 Sui 生態安全討論的:Sui 採用 Move 程式語言以「資源安全」為設計目標,過去常被引用為相對 Solidity 而言更安全的合約環境。Aftermath 強調本次漏洞屬於應用層級的會計邏輯設計缺陷(builder code fees 邊界處理),不是 Move 語言層級的弱點,避免市場把這次事件外推為「Move/Sui 整體不安全」的結論。
Mysten Labs 與 Sui Foundation 的補償出資機制細節(資金來源、補償時程、是否使用基金會儲備)目前尚未公開,但這個快速且高層級的回應為 Sui 生態 DeFi 安全形象提供了重要的信心修復—對比某些鏈上 DeFi 駭客事件後用戶長期等待補償的情境,本次處理速度算是業界積極的範例。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
