De acuerdo con el análisis técnico del incidente de ataque publicado por GoPlus el 30 de abril y con la declaración oficial de Aftermath Finance, la plataforma de contratos perpetuos Aftermath Finance en la red Sui fue atacada el 29 de abril y sufrió pérdidas de más de 1,14 millones de dólares. El proyecto anunció que, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios recibirán una compensación total.
Principio del ataque: abuso de permisos ADMIN y una vulnerabilidad en el signo de las comisiones
De acuerdo con el análisis técnico de GoPlus, el atacante presuntamente abusó del permiso ADMIN de la función add_integrator_config y, posteriormente, explotó la vulnerabilidad de discrepancia de signos en la función calculate_taker_fees, repitiendo múltiples veces la extracción de ganancias en la moneda del proyecto.
De acuerdo con la declaración oficial de Aftermath Finance, el mecanismo central explotado fue la “comisión de código del constructor” (builder code fees), un mecanismo que devuelve parte de las comisiones de transacción al front-end de integración o al servicio de enrutamiento de órdenes. La declaración señala que la lógica del contrato “permite de forma incorrecta configurar una comisión de código del constructor negativa”. Este defecto de diseño permitió al atacante configurar valores de comisión por debajo de cero y, por tanto, continuar extrayendo fondos del protocolo.
Aftermath Finance indicó que el alcance del impacto se limitó al protocolo de contratos perpetuos. Las operaciones spot, los enrutadores inteligentes entre protocolos, los derivados de staking de liquidez afSUI y los pools de AMM no se vieron afectados y se mantuvieron funcionando con normalidad. Aftermath Finance también enfatizó que este ataque no se debió a un problema de seguridad del lenguaje Move en sí.
La dirección de billetera de Sui vinculada al atacante 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e fue rastreada públicamente a través del explorador de Sui Suivision.
Respuesta de Aftermath Finance y plan de compensación
De acuerdo con una declaración pública del cofundador de Aftermath Finance, airtx, en la plataforma X, después de que ocurrió el ataque, el equipo de Aftermath Finance detuvo las transacciones maliciosas y trabajó en la recuperación en conjunto con la empresa de seguridad on-chain Blockaid en un “war room”; Blockaid es una plataforma de seguridad on-chain en la que confían MetaMask, Coinbase y otros monederos principales. Se encarga de ayudar con el análisis de vectores de ataque y el rastreo de la billetera del atacante.
De acuerdo con el anuncio más reciente de Aftermath Finance, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios afectados recibirán una compensación total. Aftermath Finance afirma que actualmente continúa con el trabajo de recuperación de fondos.
Antecedentes del ataque en el ecosistema Sui DeFi
De acuerdo con reportes de la industria, en abril de 2026 el ecosistema Sui registró múltiples incidentes de seguridad de forma consecutiva: el cofre de Volo fue atacado y perdió alrededor de 3,5 millones de dólares (aprox. 60% ya fue recuperado); Scallop divulgó dos días antes del ataque una vulnerabilidad de flash loan contra contratos de recompensas sSUI ya abandonados, con una pérdida de 142.000 dólares.
De acuerdo con estadísticas de la industria, en abril de 2026 las pérdidas totales por vulnerabilidades en DeFi superaron los 606 millones de dólares, convirtiéndose en uno de los meses más graves desde febrero de 2025; los eventos principales incluyen la vulnerabilidad de Kelp DAO en rsETH (292 millones de dólares), el ataque de ingeniería social contra Drift Protocol (285 millones de dólares) y la explotación de vulnerabilidades en proyectos como Mantra Chain y Lista DAO.
Preguntas frecuentes
¿Cuándo ocurrió el incidente de ataque de Aftermath Finance y cuál fue la causa técnica?
De acuerdo con el análisis técnico de GoPlus y con la declaración oficial de Aftermath Finance, el ataque ocurrió el 29 de abril de 2026. El atacante aprovechó el permiso ADMIN de la función add_integrator_config y la vulnerabilidad de discrepancia de signos en la función calculate_taker_fees. Al configurar una comisión de código del constructor negativa, el atacante extrajo monedas de forma repetida; se confirmó que la pérdida fue de 1,14 millones de dólares.
¿Cómo garantiza Aftermath Finance que los fondos de los usuarios sean compensados al 100%?
De acuerdo con la declaración oficial de Aftermath Finance, con el apoyo de Mysten Labs y la Fundación Sui, todos los usuarios afectados recibirán una compensación total. Aftermath Finance afirma que actualmente continúa con el trabajo de recuperación de fondos.
¿Este ataque involucró una vulnerabilidad de seguridad del lenguaje Sui Move?
De acuerdo con la declaración oficial de Aftermath Finance, este ataque no se debió a un problema de seguridad del lenguaje Move en sí, sino a un error de configuración de comisiones en la lógica del contrato del protocolo específico. Otros productos como operaciones spot, el staking de liquidez afSUI y los pools de AMM no se vieron afectados.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
PayPal reorganiza tres grandes áreas de negocio; las criptomonedas y PYUSD se sitúan como departamentos centrales
PayPal anunció oficialmente el 30 de abril una reestructuración estratégica, y simplificó su estructura de negocios en tres grandes áreas principales: soluciones de pago y PayPal, servicios de finanzas para consumidores y Venmo, y servicios de pagos y criptomonedas; en particular, el bloque de servicios de pagos y criptomonedas se constituyó de forma independiente, integrando Braintree, el procesamiento para pequeñas y medianas empresas, servicios de valor añadido y negocios de criptomonedas (incluido el stablecoin PYUSD).
MarketWhisperHace8m
OKX lanza el protocolo de pagos de agentes para ciclos de negocio de IA
El exchange de criptomonedas OKX presentó el Protocolo de Pagos para Agentes (APP) el miércoles, posicionándolo como un estándar abierto para pagos agentic diseñado para respaldar ciclos comerciales completos para agentes de IA. El anuncio se produce tras ofertas similares, incluidas x402, un protocolo abierto incubado por Coinbase, y
CryptoFrontierhace1h
Kite lanza el despliegue de la red principal, introduciendo una capa de control de pagos para autorizaciones de AI Agent
Según el anuncio oficial de Kite, la infraestructura de pagos Kite, orientada a la economía de los AI Agent, lanzó oficialmente la mainnet el 30 de abril; durante el lanzamiento de la mainnet, Kite Treasury cubre los costos de red y los usuarios no necesitan percibir gas. Kite también abrió al público el Kite Agent Passport, como capa de autorización y control de pagos para los agentes.
MarketWhisperhace1h
Pump.fun lanza la función de monedas benéficas el 30 de abril, habilitando donaciones directas de las comisiones para creadores a 10.000+ organizaciones benéficas certificadas
De acuerdo con SolanaFloor, Pump.fun lanzó la función Charity Coins en colaboración con Donate el 30 de abril, permitiendo a los creadores dirigir las comisiones de creación de monedas meme a más de 10.000 organizaciones benéficas certificadas. La función tiene como objetivo reducir los riesgos fiscales, minimizar el fraude y garantizar el cumplimiento de las donaciones y
GateNewshace2h
Sky Protocol alcanza un récord de 123,79 millones de dólares en ingresos en el 1T, un 28,9% más interanual
Según Sky Frontier Foundation, los ingresos trimestrales del protocolo Sky alcanzaron 123,79 millones de dólares en el primer trimestre de 2026, un 28,9% más interanual y un 56,8% más trimestral, estableciendo un récord para el protocolo. El superávit neto totalizó 46,04 millones de dólares, lo que representa el 92,4% del superávit neto del año completo 2025.
Protocolo
GateNewshace2h
Actualización en la documentación oficial de Hyperliquid: HIP-4 habilita el cobro gratis de la apertura de posiciones de tokens resultantes
Según la actualización del 30 de abril en la documentación oficial de Hyperliquid, el equipo de Hyperliquid ha detallado claramente en los documentos la lógica de comisiones de los tokens de resultados para HIP-4. La regla central es: las operaciones con tokens de resultados solo cobran comisión al cerrar una posición o en el proceso de liquidación; no se cobra en el momento de abrir una posición. La fórmula de las comisiones ya se ha compartido con los desarrolladores. En marzo, Hyperliquid anunció el lanzamiento en la testnet de HIP-4.
MarketWhisperhace2h
