Sui Perps悪用被害者がスプレッドシート、警告、そして月曜日の締め切りを受け取る

Aftermath Financeは、Sui Perpsエクスプロイトで被害を受けたウォレットの完全なリストを公開。110万ドルの補償請求は月曜日に開始されるが、一部の残高が一致しない可能性がある。

@AftermathFiがX上で公開したGoogle Sheetには、4月29日のエクスプロイトでSui上のプロトコルの無期限取引プロダクトから約110万ドルが流出した際に被害を受けたすべてのウォレットが記載されている。

補償請求は月曜日まで開始されない。チームはユーザーに対し、それまでに自分の行を確認するよう求めている。

実際の損失と一致しない可能性のある行

「担保不足ウィンドウ中に行われた出金のため、一部の残高は照合が必要になる場合があります」とAftermathはX上に投稿した。金額に誤りがある場合は、Discordチケットを開くか、取引データを添えてチームに直接DMするよう求められている。

影響を受けたアカウントのシートは、チームが公開したGoogle Sheetsのフルリンクからアクセスできる。すべての数字が正確とは限らない。

ただし、今すぐできることが一つある：アイドル状態の担保だ。X上の別の投稿で、@AftermathFiはアカウントに担保が残っているユーザーは月曜日を待たずに既に出金できることを確認した。

110万ドルが40分以内に流出した経緯

侵害自体は素早く展開された。既報の通り、攻撃者は4月28日に405 SUIとともに最初に現れた。翌朝までに、SORスワップを通じて約278 USDCのシードコラテラルが準備されていた。

その後の動きは組織的だった。AftermathのX上での完全なポストモーテムによると、4月29日の08:55から09:31 UTCの間に17回の流出試みが行われた。11回は成功し、6回は失敗した。

根本原因は、インテグレーターの会計ロジックにおける符号付き整数の欠陥だった。攻撃者は自身のインテグレーターとして登録し、マイナス100,000のテイカー手数料を設定し、合成資産の担保を実際のUSDCとして引き出すことができた。成功した11回の取引それぞれは、2つのアカウントを開き、実際のカウンターパーティに対してマーケットオーダーを実行し、その後出金する単一のPTBだった。

この脆弱性は2025年8月29日に導入された。@osec_ioは11月に変更点を監査したが、この問題は見逃されていた。

流出後、収益は新しい使い捨てのウォレットを通じて移動した。@AftermathFiのポストモーテムによると、約$250K USDCがバイナンスへ、約$400K USDCがKuCoinへ、約$150K分のSUIがHTXへ、約$150K USDCがHitBTCへ、すべて約80分以内に送られた。Suiのセキュリティー上の懸念は、ここ数週間で複数のプロトコルにわたって高まっている。

AIツール、2回目の監査、そして今後の展開

チームはAFperpsを即座に再開する予定はない。@AftermathFiは、別の会社との追加監査が進行中であると述べた。チームは、手動レビューは「2026年には不十分」であると直接認めた。

こうした見方は一般的になりつつある。Aftermathは、今週だけで約12のプロトコルがエクスプロイトの被害を受けた中の一つであると指摘した。対応策にはAIセキュリティーワークフローへのより大きな投資が含まれるが、ツールの具体的な内容は共有されなかった。

Blockaid、ZeroShadow、OtterSec、Sui Foundation、およびMysten Labsはすべて迅速な対応に対して謝辞を受けた。afSui、プール、ファーム、アグリゲーター、SORを含むより広いプロトコルは、全体を通じて影響を受けなかった。

請求日は引き続き月曜日だ。それまでに行の照合を行うことがチームの求めだ。

The post Sui Perps Exploit Victims Get a Sheet, A Warning, and a Monday Deadline appeared first on Live Bitcoin News.