29 апреля 2026 года из протокола Aftermath Finance в сети Sui было похищено около 1.14 млн USDC (это стейблкоин, всегда равный $1). Злоумышленник воспользовался логической ошибкой в системе комиссий: вместо того чтобы платить за сделки, он заставил протокол самому платить ему. Aftermath подтвердил инцидент и сообщил, что пострадала только одна функция — система интеграторов в разделе AF Perps.
Что произошло
Aftermath Finance — это торговый протокол в сети Sui. Внутри него есть раздел AF Perps — место для торговли с кредитным плечом (это когда можно торговать на сумму больше, чем у вас есть, заняв остаток у протокола).
У AF Perps есть система интеграторов. Интегратор — это партнёр или сторонний сервис, который подключается к протоколу и получает часть комиссий с каждой сделки своих пользователей. Например, если какой-то кошелёк встроит в себя торговлю через Aftermath — он становится интегратором и получает свой процент.
Атакующий создал собственного интегратора — это открытая функция, доступная любому. Но при настройке он указал отрицательную комиссию для принимающей стороны сделки. Звучит странно — и именно это оказалось проблемой: система не проверила, может ли комиссия вообще быть отрицательной.
Вместо того чтобы списывать комиссию со сделки, протокол начал начислять атакующему деньги при каждой операции. После серии таких сделок атакующий вывел накопленные начисления как настоящий USDC. Всего было похищено около 1.14 млн USDC.
Почему это стало возможным
Причина — ошибка со знаком числа в коде. Объясним просто: в программировании числа бывают положительными (например, +5) и отрицательными (например, −5). Есть типы чисел, которые изначально не предназначены для отрицательных значений, и есть те, которые могут быть как положительными, так и отрицательными — так называемые знаковые целые числа.
В коде Aftermath логика расчёта комиссий использовала знаковое целое число, но не проверяла, что значение не уходит в минус. Когда атакующий ввёл отрицательную комиссию, система восприняла это как корректное число и обработала по той же формуле — только вместо списания получилось начисление.
Aftermath официально назвал это «ошибкой со знаковым целым числом в логике учёта интеграторов».
По сути, один неверно обработанный знак «минус» — и из хранилища протокола утекло более миллиона долларов.
Детали расследования: движение средств
1️⃣ После того как средства поступили к атакующему, они прошли через несколько одноразовых адресов — промежуточных кошельков, созданных специально для одного использования, чтобы затруднить отслеживание.
2️⃣ Затем атакующий провёл DEX-свапы — обменял часть средств через децентрализованные биржи (площадки для обмена токенов без посредников).
3️⃣ После этого средства были направлены на крупные централизованные биржи:
- около $250 тыс. USDC — на Binance
- около $400 тыс. USDC — на KuCoin
- около $150 тыс. в SUI — на HTX
- около $150 тыс. USDC — на HitBTC
Все четыре биржи — крупные платформы с обязательной проверкой личности (KYC). Это означает, что при выводе средств пользователь обязан подтвердить свою личность. Теоретически, у бирж есть возможность заморозить подозрительные поступления и помочь в расследовании.
Заключение
Атака на Aftermath Finance — пример того, как небольшая техническая ошибка в базовой логике расчётов открывает дверь к многомиллионным потерям. Никакого сложного взлома не потребовалось: достаточно было найти поле ввода, которое не проверяло, может ли значение быть отрицательным.
То, что средства пошли на биржи с KYC, даёт определённый шанс на частичное возвращение — но исход будет зависеть от готовности бирж сотрудничать с командой Aftermath и правоохранительными органами.
