De acuerdo con el análisis técnico del incidente de ataque publicado por GoPlus el 30 de abril y con la declaración oficial de Aftermath Finance, la plataforma de contratos perpetuos Aftermath Finance en la red Sui fue atacada el 29 de abril y sufrió pérdidas de más de 1,14 millones de dólares. El proyecto anunció que, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios recibirán una compensación total.
Principio del ataque: abuso de permisos ADMIN y una vulnerabilidad en el signo de las comisiones
De acuerdo con el análisis técnico de GoPlus, el atacante presuntamente abusó del permiso ADMIN de la función add_integrator_config y, posteriormente, explotó la vulnerabilidad de discrepancia de signos en la función calculate_taker_fees, repitiendo múltiples veces la extracción de ganancias en la moneda del proyecto.
De acuerdo con la declaración oficial de Aftermath Finance, el mecanismo central explotado fue la “comisión de código del constructor” (builder code fees), un mecanismo que devuelve parte de las comisiones de transacción al front-end de integración o al servicio de enrutamiento de órdenes. La declaración señala que la lógica del contrato “permite de forma incorrecta configurar una comisión de código del constructor negativa”. Este defecto de diseño permitió al atacante configurar valores de comisión por debajo de cero y, por tanto, continuar extrayendo fondos del protocolo.
Aftermath Finance indicó que el alcance del impacto se limitó al protocolo de contratos perpetuos. Las operaciones spot, los enrutadores inteligentes entre protocolos, los derivados de staking de liquidez afSUI y los pools de AMM no se vieron afectados y se mantuvieron funcionando con normalidad. Aftermath Finance también enfatizó que este ataque no se debió a un problema de seguridad del lenguaje Move en sí.
La dirección de billetera de Sui vinculada al atacante 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e fue rastreada públicamente a través del explorador de Sui Suivision.
Respuesta de Aftermath Finance y plan de compensación
De acuerdo con una declaración pública del cofundador de Aftermath Finance, airtx, en la plataforma X, después de que ocurrió el ataque, el equipo de Aftermath Finance detuvo las transacciones maliciosas y trabajó en la recuperación en conjunto con la empresa de seguridad on-chain Blockaid en un “war room”; Blockaid es una plataforma de seguridad on-chain en la que confían MetaMask, Coinbase y otros monederos principales. Se encarga de ayudar con el análisis de vectores de ataque y el rastreo de la billetera del atacante.
De acuerdo con el anuncio más reciente de Aftermath Finance, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios afectados recibirán una compensación total. Aftermath Finance afirma que actualmente continúa con el trabajo de recuperación de fondos.
Antecedentes del ataque en el ecosistema Sui DeFi
De acuerdo con reportes de la industria, en abril de 2026 el ecosistema Sui registró múltiples incidentes de seguridad de forma consecutiva: el cofre de Volo fue atacado y perdió alrededor de 3,5 millones de dólares (aprox. 60% ya fue recuperado); Scallop divulgó dos días antes del ataque una vulnerabilidad de flash loan contra contratos de recompensas sSUI ya abandonados, con una pérdida de 142.000 dólares.
De acuerdo con estadísticas de la industria, en abril de 2026 las pérdidas totales por vulnerabilidades en DeFi superaron los 606 millones de dólares, convirtiéndose en uno de los meses más graves desde febrero de 2025; los eventos principales incluyen la vulnerabilidad de Kelp DAO en rsETH (292 millones de dólares), el ataque de ingeniería social contra Drift Protocol (285 millones de dólares) y la explotación de vulnerabilidades en proyectos como Mantra Chain y Lista DAO.
Preguntas frecuentes
¿Cuándo ocurrió el incidente de ataque de Aftermath Finance y cuál fue la causa técnica?
De acuerdo con el análisis técnico de GoPlus y con la declaración oficial de Aftermath Finance, el ataque ocurrió el 29 de abril de 2026. El atacante aprovechó el permiso ADMIN de la función add_integrator_config y la vulnerabilidad de discrepancia de signos en la función calculate_taker_fees. Al configurar una comisión de código del constructor negativa, el atacante extrajo monedas de forma repetida; se confirmó que la pérdida fue de 1,14 millones de dólares.
¿Cómo garantiza Aftermath Finance que los fondos de los usuarios sean compensados al 100%?
De acuerdo con la declaración oficial de Aftermath Finance, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios afectados recibirán una compensación total. Aftermath Finance afirma que actualmente continúa con el trabajo de recuperación de fondos.
¿Este ataque involucró una vulnerabilidad de seguridad del lenguaje Sui Move?
De acuerdo con la declaración oficial de Aftermath Finance, este ataque no se debió a un problema de seguridad del lenguaje Move en sí, sino a un error de configuración de comisiones en la lógica del contrato del protocolo específico. Otros productos como operaciones spot, el staking de liquidez afSUI y los pools de AMM no se vieron afectados.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
