同時關聯該項目與事件的快訊
Sui 中文官方發佈主網停機事件覆盤表示,太平洋時間(UTC-7) 2026 年 5 月 28 日(週四)和 5 月 29 日(週五),Sui 主網共經歷了三次網絡故障。前兩次故障源於 Gas 計費邏輯與近期發佈的 1.72 版本(引入 Address Balances 功能)之間交互產生的崩潰漏洞。針對週四事故的修復方案屬於臨時性修復,其目標是在 Sui 核心團隊開發長期解決方案期間儘快恢復網絡運行。團隊已知該臨時修復存在極低概率導致網絡故障的問題,但爲了儘快恢復主網運行,團隊接受了這一風險。週五早晨,網絡觸發了這一已知問題的另一種變體,並再次發生故障。第三次故障發生在週五下午的例行 Epoch 切換期間,當驗證節點重啓節點以部署週五上午的修復方案時,一個長期潛伏的隨機數狀態保存缺陷被觸發,導致網絡再次故障。故障時間如下:第一次:週四約 7:00 PT 開始,13:30 PT 恢復;第二次:週五約 5:00 PT 開始,8:30 PT 恢復;第三次:週五約 13:30 PT 開始,19:20 PT 恢復;整個事件期間用戶資金始終安全,網絡恢復後未回滾任何已確認交易。目前,驗證節點已經完全修復了原始 Gas Charging 和 Randomness State 漏洞,網絡活動已恢復正常。
據 The Block 報道,Sui 基金會於 5月 31 日發佈事故報告,披露其主網於 5月 29 日至 30 日連續發生三次宕機事件,根源均指向 v1.72 版本升級引入的兩個獨立漏洞。前兩次宕機由"地址餘額"新功能引發的 gas 費用計算錯誤所致,交易取消後資金仍被扣除,導致賬戶出現負餘額並引發驗證節點崩潰;第三次宕機則由節點重啓時觸發的隨機數生成器潛在漏洞引起,導致網絡 epoch 無法正常關閉。Sui 基金會表示,目前所有已知問題均已修復,用戶資金全程未受影響,已結算交易亦未被回滾,並計劃進一步優化容錯機制,確保未來類似漏洞僅影響單筆交易而非導致全網停機。
Sui 官方發佈公告,主網因 1.72 版本 Gas 計費邏輯存在漏洞出現宕機,全網交易及鏈上活動暫時中斷。目前 Sui Core 團隊已完成應急處置,主網恢復正常運行。官方表示,後續將對外發布完整覆盤報告,詳解事故成因與修復方案。
Sui 表示,因 1.72 版本引入的 Gas 計費邏輯崩潰漏洞而暫停的 Sui 主網活動現已恢復。Sui 稱,未來幾天將公佈此次事件的完整事故覆盤。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,SlowMist 旗下威脅情報系統 MistEye 檢測到一起針對開發者的跨註冊表供應鏈攻擊,惡意包已擴散至 npm、PyPI 和 Crates.io 三大註冊表,涉及 34 個以上惡意包及 384 個以上相關版本。 攻擊目標覆蓋加密貨幣、DeFi、Solana、Sui/Move 及 AI 開發者社區,可能導致加密錢包、SSH 密鑰、雲憑據、GitHub/AWS 令牌、瀏覽器數據及開發者機密信息遭竊。部分惡意載荷還嘗試通過 .cursorrules、CLAUDE.md、Git hooks、cron、systemd 及 SSH 等方式實現持久化駐留。SlowMist 建議立即移除受影響包、隔離受影響系統、輪換暴露憑據,並從乾淨鏡像重建 CI 環境及開發者機器,同時全面審查 GitHub、雲端、SSH 及錢包相關活動。
據安全公司 Socket Security 研究發現,名爲 TrapDoor 的加密貨幣竊取型供應鏈攻擊,橫跨 npm、PyPI 和 Crates.io,涉及超過 34 個惡意軟件包及 384 個相關版本與製品,目標指向加密貨幣、DeFi、Solana、Sui、Move 與 AI 開發者。攻擊樣本可竊取 SSH 密鑰、錢包數據、AWS 憑證、GitHub 令牌、瀏覽器數據、環境變量等敏感信息。其中,npm 包通過 postinstall 鉤子執行共享載荷 trap-core.js,PyPI 包在導入時執行遠程 JavaScript,Crates.io 包則藉助 build.rs 竊取本地密鑰庫。Socket 已將相關包全部標記爲惡意,並向相關軟件包註冊表報告。
據 Aftermath Finance 官方披露,該協議預計將在未來 48 至 72 小時內完成對用戶的全額賠付,目前團隊正全力推進資金返還工作,並對用戶的耐心等待表示感謝。此前消息,永續合約協議 Aftermath Finance 於昨日遭遇漏洞攻擊,損失約 114 萬美元資金。Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。
據 Sui 官方披露,Aftermath Finance 部署於 Sui 網絡的永續合約協議遭受漏洞攻擊,相關協議已隨即暫停運行。 Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。Aftermath Finance 方面將於近期就資金追回進展作進一步說明。
據 Blockaid 監測,Aftermath Finance 在 Sui Network 上的永續合約協議發生正在進行中的攻擊事件,約 110 萬美元 USDC 在約 36 分鐘內通過 11 筆交易被盜。分析顯示,此次漏洞源於永續合約清算系統中的手續費記賬缺陷,攻擊者藉此實現合成抵押品虛增,並從協議金庫中提取資金。
據鏈上安全機構 Blockaid(@blockaid_)監測,Sui Network 上的 AftermathFi 永續合約於 4月 29 日遭遇漏洞攻擊,攻擊者(地址:0x1a65...2d41e)在約 36 分鐘內通過 11 筆交易共盜取約 110 萬美元 USDC。據悉,此次攻擊利用了永續合約清算所費用覈算中的漏洞,通過合成抵押品虛增手段實現對協議金庫的非法提款。
Sui 生態借貸協議 Scallop 在 X 平臺表示,發現一個與 Scallop 的 sSUI 獎勵池相關的附屬合約存在漏洞,導致約 15 萬枚 SUI 損失。受影響的合約已被凍結。Scallop 稱核心合約仍然安全,只有 sSUI 獎勵池受到影響。所有其他獎勵池均安全無虞。Scallop 將全額承擔 100% 的損失,並將儘快發佈進一步的更新。
據 Volo 官方公告,Sui 網絡上的 BTCFi 與 LST 協議 Volo 今日發生安全漏洞事件,約 350 萬美元資產(含 WBTC、XAUm 及 USDC)從三個特定 Vault 中被盜。事件發生後,團隊已立即通知 Sui 基金會及生態合作伙伴,並凍結全部 Vault 以阻止損失擴大。Volo 表示,此次漏洞僅涉及三個 Vault,其餘 Vault 不存在相同攻擊向量,其他約 2800 萬美元 TVL 資產安全無虞。官方強調將自行承擔本次損失,不會將損失轉嫁給用戶,並將在調查完成後發佈完整事後報告及補救方案。