Жертвы эксплойта Sui Perps получили таблицу, предупреждение и дедлайн в понедельник

Aftermath Finance публикует полный список кошельков, пострадавших в результате эксплойта Sui Perps на 1,1 млн $. Приём заявок на компенсацию откроется в понедельник, однако некоторые балансы могут не совпасть.

Таблица Google, опубликованная @AftermathFi в X, содержит все кошельки, попавшие под эксплойт 29 апреля, который вывел около 1,1 млн $ из продукта perpetuals протокола на Sui.

Приём заявок на компенсацию откроется только в понедельник. Команда просит пользователей заранее проверить свою строку в таблице.

Строка, которая может не совпасть с вашими потерями

«Некоторые балансы могут потребовать сверки из-за выводов средств, совершённых в период недостаточного обеспечения,» — написала Aftermath в X. Всем, у кого сумма выглядит некорректной, предлагается открыть тикет в Discord или написать команде напрямую с данными своих транзакций.

Таблица затронутых аккаунтов доступна по полной ссылке на Google Sheets, опубликованной командой. Не у всех цифры будут точными.

Однако кое-что можно сделать уже сейчас: вывести незадействованный залог. В отдельном посте в X @AftermathFi подтвердили, что пользователи с залогом на счетах могут уже сейчас вывести его, не дожидаясь понедельника.

Как 1,1 млн $ ушли менее чем за 40 минут

Взлом произошёл стремительно. Как сообщалось ранее, злоумышленник впервые появился 28 апреля с 405 SUI. К следующему утру через SOR-своп был собран начальный залог в размере около 278 USDC.

Дальнейшие действия носили систематический характер. Согласно полному постмортему Aftermath в X, с 08:55 до 09:31 UTC 29 апреля было предпринято семнадцать попыток вывода средств. Одиннадцать удались. Шесть — нет.

Причиной стала ошибка знакового целого числа в логике учёта интеграторов. Злоумышленник мог зарегистрироваться как собственный интегратор, установить отрицательную комиссию тейкера в 100 000 и выводить синтетические активы в виде реального USDC. Каждая из 11 успешных транзакций представляла собой единый PTB, который открывал два аккаунта, исполнял рыночный ордер против реального контрагента, а затем производил вывод средств.

Уязвимость была внесена 29 августа 2025 года. @osec_io проводил аудит изменений в ноябре. Проблема была пропущена.

После вывода средств поступления прошли через новые одноразовые кошельки. По данным постмортема @AftermathFi, около 250 000 $ USDC ушло на Binance, около 400 000 $ USDC — на KuCoin, примерно 150 000 $ в SUI — на HTX, и около 150 000 $ USDC — на HitBTC, всё это в течение примерно 80 минут. Обеспокоенность безопасностью Sui нарастает в нескольких протоколах на протяжении последних недель.

AI-инструменты, повторный аудит и дальнейшие шаги

Команда не планирует немедленно перезапускать AFperps. По словам @AftermathFi, дополнительный аудит ведётся другой компанией. Команда прямо признала, что ручная проверка «в 2026 году недостаточна».

Такая позиция становится всё более распространённой. Aftermath отметила, что оказалась в числе почти дюжины протоколов, подвергшихся эксплойтам лишь на этой неделе. В ответ предполагается более активное внедрение AI-инструментов в процессы обеспечения безопасности, хотя конкретные решения не раскрывались.

Благодарность за оперативное реагирование выразили Blockaid, ZeroShadow, OtterSec, Sui Foundation и Mysten Labs. Основной протокол, включая afSui, пулы, фермы, агрегатор и SOR, на протяжении всего времени оставался нетронутым.

Дата подачи заявок по-прежнему — понедельник. Команда просит до этого момента провести сверку строк в таблице.

The post Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline appeared first on Live Bitcoin News.