スイ(Sui)ブロックチェーン上のDeFiプロトコル、アフターマス・ファイナンス(Aftermath Finance)は29日、永久先物取引機能においてエクスプロイト(脆弱性悪用)が発生したと公式Xアカウントで発表した。被害額は約114万ドル(約1億8,200万円)相当のUSDCに上る。
攻撃者はパーペチュアルプロトコルの手数料精算ロジックに存在する欠陥を悪用し、マイナス値のビルダーコード手数料を発生させることで資金を抜き取った。11件のトランザクションを36分間にわたって実行することで被害が生じており、スマートコントラクト言語「Move」自体のセキュリティ上の問題ではないとチームは明言している。
プロトコルはエクスプロイト検知後に即座に停止措置を実施。セキュリティ企業のブロックエイド(Blockaid)およびサーティック(CertiK)が調査と資金保護に当たった。なお、スワップ・ステーキング・MEV(最大抽出可能価値)インフラなど他の機能は影響を受けていない。
その後、アフターマスは「マイステン・ラボス(Mysten Labs)とスイ財団(Sui Foundation)の支援により、全ユーザーの損失をゼロにする形で補填が実現した」と報告した。サービスは近日中に再開予定だという。
攻撃者のウォレットはオンチェーン追跡によると事前に準備されており、盗まれた資金は複数のSui上のプロトコルを経由して分散移動が確認された。エコシステム内の他プロトコルも予防措置として一部機能を制限するなど、迅速な協調対応が取られた。
Suiエコシステムでは直近数カ月でエクスプロイトが相次いでおり、今回のアフターマスへの攻撃は、同週に発生したZetaChainやSyndicateへの攻撃に続くもので、Suiネイティブのプロトコルを狙う事案が増加している。
