Жертви експлойту Sui Perps отримали таблицю, попередження та дедлайн у понеділок

Aftermath Finance публікує повний список гаманців, які постраждали від експлойту Sui Perps на $1,1 млн. Заявки на компенсацію відкриються в понеділок, але деякі баланси можуть не збігатися.

Google-таблиця, публічно опублікована @AftermathFi в X, містить перелік усіх гаманців, які потрапили під експлойт 29 квітня, що виснажив приблизно $1,1 млн із продукту безстрокових контрактів протоколу на Sui.

Заявки на компенсацію відкриються лише в понеділок. Команда просить користувачів перевірити свій рядок до того часу.

Рядок, який може не збігатися з вашими втратами

«Деякі баланси можуть потребувати звірки через виведення коштів, здійснені під час вікна недостатнього забезпечення», — написала Aftermath в X. Усіх, у кого сума виглядає неправильною, просять відкрити тікет у Discord або написати команді напряму з даними своїх транзакцій.

Таблиця постраждалих акаунтів доступна за повним посиланням на Google Sheets, опублікованим командою. Не в усіх цифри будуть чіткими.

Однак уже зараз є одна можливість: незадіяна застава. В окремій публікації в X @AftermathFi підтвердила, що користувачі із заставою на акаунтах вже можуть її вивести, не чекаючи понеділка.

Як $1,1 млн зникло менш ніж за 40 хвилин

Злом відбувся стрімко. Як повідомлялося раніше, зловмисник вперше з'явився 28 квітня з 405 SUI. До наступного ранку приблизно 278 USDC початкової застави було зібрано через SOR-свап.

Далі все відбувалося систематично. Згідно з повним постмортемом Aftermath в X, з 08:55 до 09:31 UTC 29 квітня було здійснено сімнадцять спроб виснаження. Одинадцять вдалися. Шість — ні.

Першопричиною стала помилка зі знаковим цілим числом у логіці обліку інтегратора. Зловмисник міг зареєструватися як власний інтегратор, встановити від'ємну комісію тейкера в 100 000, і виводити синтетичну заставу як реальний USDC. Кожна з 11 успішних транзакцій була одиночним PTB, який відкривав два акаунти, виконував ринковий ордер проти реального контрагента, а потім виводив кошти.

Вразливість була введена 29 серпня 2025 року. @osec_io перевірив зміни в листопаді. Проблему не помітили.

Після виснаження кошти перемістилися через нові одноразові гаманці. Згідно з постмортемом @AftermathFi, приблизно $250 тис. USDC пішло на Binance, близько $400 тис. USDC — на KuCoin, приблизно $150 тис. у SUI — на HTX, і близько $150 тис. USDC — на HitBTC, — усе це протягом приблизно 80 хвилин. Занепокоєння щодо безпеки Sui зростають в кількох протоколах останніми тижнями.

Інструменти ШІ, другий аудит і що буде далі

Команда не перезапускає AFperps негайно. Додатковий аудит проводиться з окремою фірмою, повідомила @AftermathFi. Ручна перевірка, визнала команда прямо, «є недостатньою у 2026 році».

Такий підхід став поширеним. Aftermath зазначила, що опинилася серед майже десятка протоколів, які зазнали експлойтів лише цього тижня. Тепер у відповідь передбачено більші інвестиції в робочі процеси безпеки на основі ШІ, хоча конкретні деталі щодо інструментів не розкривалися.

Blockaid, ZeroShadow, OtterSec, Sui Foundation та Mysten Labs отримали подяку за оперативне реагування. Ширший протокол, включно з afSui, пулами, фармінгом, агрегатором та SOR, залишався недоторканим протягом усього часу.

Понеділок залишається датою подання заявок. Команда просить провести звірку рядків до того часу.

The post Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline appeared first on Live Bitcoin News.