SUIBlockaid近日发现并预警Sui网络上的Aftermath Finance永续合约交易系统正遭受恶意利用。
该警报在加密社区迅速传开,警示称漏洞已被攻击者利用,仅在几分钟内就窃取了大量资金。分析显示,攻击者在36分钟内通过11笔快速交易从协议中提取了110万美元的USDC。攻击者利用了与某地址关联的清算所手续费计算机制中的漏洞。
在去中心化金融领域,若漏洞足以控制手续费计算和抵押品管理等关键金融操作,攻击者便能在几秒或几分钟内获利。此次攻击的核心是一个基础层级的整数溢出错误,这种编程问题在由多组件构成的复杂去中心化系统中出奇地常见。
手续费值以无符号256位整数形式存储,这类整数完全无法表示负数。问题在于,系统某部分将这些值错误解读为有符号整数(可表示正负值)。攻击者通过提交一个略低于u256上限的数值,使其在有符号整数解读下变为一个巨大的负数。这种手续费结构的倒转使得本应收取的费用变成了支付款项。结果,协议开始向攻击者支付交易执行费用,攻击者随后得以创建合成抵押品并直接从协议金库中提取资金。
区块链交易记录清晰展示了攻击过程。系统记录了这些实际为负值的手续费支付,并向攻击者发放奖励,而非收取费用。系统接收输入的方式未对输入值施加任何限制,接受了与系统其他部分假设相矛盾的恶意参数。缺乏严格的输入验证是根本设计缺陷之一。在此类情况下,验证输入参数是否处于预期范围内,方能构建抵御此类攻击的安全系统架构。
Aftermath事件只是四月观测到的多个DeFi协议参数验证失效案例之一。根本原因均在于设置函数未对输入值实施约束,与系统其他部分的假设脱节。安全研究人员注意到,攻击者正越来越多地使用人工智能工具自动探测边界情况,发现人类开发者遗漏的边界条件,而防御方也开始将类似自动化工具整合到安全审计中。
尽管攻击严重,生态系统的响应迅速而有效。Aftermath Finance立即采取行动遏制漏洞并保护用户,并得到了Mysten Labs和Sui基金会的协助。协议表示将承担全部损失,全额补偿受影响用户。这种做法体现了越来越多DeFi项目在危机时刻保护用户、维护信誉的承诺。
重要的是,此次攻击对Sui代币整体市场影响甚微。截至撰稿时,代币价格小幅下跌约2%至0.90美元。这种相对稳定表明市场参与者似乎将事件视为协议层面的重大失误,而非Sui网络本身的系统性关键缺陷。这也强调了应用层漏洞与区块链基础设施漏洞的重要区别。Aftermath澄清此次攻击并非由Sui采用的Move编程语言导致,而是协议实现过程中的漏洞所致。
Aftermath Finance事件不幸地提醒我们,保护去中心化金融系统的隔离解决方案远未完善。在复杂的智能合约环境中,即便是看似无害的漏洞(如整数溢出),若未被及时发现和管理,也可能造成严重损害。随着DeFi的发展,进行全面测试、实时审计和监控的必要性日益凸显。设计协议时不仅要考虑预期用途,更需预见到那些将系统推向极端边界的对抗行为。
人工智能作为攻防工具的出现,标志着区块链生态稳健性建设的开端。当攻击者通过自动化手段扩大攻击规模寻找弱点时,开发者也正在运用同类技术优化审计流程。Aftermath Finance已确保用户资金安全并开展恢复工作,眼前危机似乎已得到控制。但可以确信的是,本次事件的教训将在日益复杂多变的环境下,重塑整个行业对安全性与韧性的应对之道。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注