Aftermath pierde U$S 1.14M por exploit, y Sui paga la cuenta
La red Sui sumó otro capítulo a una saga preocupante. Aftermath Finance, uno de los protocolos más activos del ecosistema —responsable, según sus propios datos previos al incidente, de aprox. una de cada ocho transacciones de la red y cerca del 12% del consumo total de gas—, fue víctima de un explot por unos 1,14 millones de dólares en USDC. El ataque no fue largo ni sofisticado en lo visual: 11 transacciones, 36 minutos, y un atacante que se llevó el dinero antes de que la mayoría del mercado se enterara.
Lo curioso es dónde estuvo el agujero. No en la blockchain de Sui, no en el lenguaje Move, ni siquiera en el contrato principal de perpetuos. El equipo de Aftermath, después de la primera reacción en caliente, fue claro: la falla estaba en el sistema de «builder code fees», un mecanismo pensado para incentivar a desarrolladores e integradores externos compartiendo parte de las comisiones generadas por las operaciones que ruteaban a través suyo. Por una omisión de validación, ese parámetro podía configurarse en valores negativos. En la práctica, eso le permitió al atacante inflar artificialmente el colateral sintético dentro del clearing house de perpetuos y retirar fondos directamente desde las bóvedas del protocolo. Un error de contabilidad, no de criptografía. La clase de bug aburrido que termina costando millones.
La firma de seguridad Blockaid detectó la actividad y la marcó en tiempo real. A los pocos minutos, Aftermath pausó preventivamente la operatoria de perpetuos —el resto de los productos, swaps y staking incluidos, siguió funcionando— y publicó la frase que ningún protocolo quiere escribir en X: «We have been exploited». Acto seguido, llamó a sus aliados habituales en respuesta a incidentes: zeroShadow, Seal, Blockaid, OtterSec y, en paralelo, Mysten Labs.
El gesto que cambió la narrativa
Lo que transformó este episodio en algo más que otro «rug menor de DeFi» fue la respuesta institucional. Pocas horas después del ataque, Aftermath publicó un mensaje que vale la pena leer con atención: «Gracias al apoyo de Mysten Labs y la Sui Foundation, todos los usuarios serán resarcidos. Cero pérdidas». No es un detalle menor. Mientras la mayoría de los exploits en DeFi terminan con planes de recuperación parcial, tokens de gobernanza emitidos a modo de IOU y comunidades enojadas durante meses, acá los dos pilares del ecosistema Sui pusieron la chequera para tapar un bug de un protocolo de terceros.
Hay un antecedente directo, y es el que probablemente hizo posible esta velocidad. El hackeo de Cetus en mayo de 2025, donde se drenaron alrededor de 223 millones de dólares. Aquella vez, los validadores de Sui —en coordinación con la Foundation— actualizaron una configuración para rechazar transacciones desde la wallet del atacante, congelando 162 millones. La Foundation, además, entregó un préstamo puente de 30 millones a Cetus para reabrir el protocolo. Un año después, frente a un monto mucho menor, el manual está aceitado.
El debate que vuelve a abrirse
El movimiento no es gratuito desde lo conceptual. Cada vez que un ecosistema se involucra activamente en cubrir pérdidas o en frenar transacciones, reaparece la pregunta incómoda: ¿qué tan descentralizada es una red cuando una fundación puede, por gestión informal, decidir que ciertos fondos vuelven a sus dueños y otros no? Analistas como David Rodríguez, de Blockworks Advisory, ya habían advertido tras el episodio de Cetus que sentar este tipo de precedentes es una pendiente resbaladiza, sobre todo si en el futuro la presión viene de un regulador y no de un hacker. La Sui Foundation, por su parte, sostiene que no controla validadores ni puede dictar comportamientos individuales, y que las acciones se dan por coordinación voluntaria.
En el medio, el mercado votó con relativa frialdad. SUI cayó alrededor del 2-3% en las horas posteriores —algunas fuentes hablaron de un mínimo de 30 días en torno a 0,918 USD, cotizando hoy cerca de 0,90—, pero el movimiento se mezcló con una jornada de risk-off general gatillada por el petróleo y la reunión de la Fed, y con un unlock de 42,6 millones de SUI previsto para el 1 de mayo. El Fear & Greed Index del segmento se hundió a 14, en zona de miedo extremo, aunque el ecosistema se sostuvo por el lanzamiento, en febrero, de tres ETFs spot de SUI en Estados Unidos y el dato estructural de que aproximadamente el 75% del supply está stakeado.
El zoom out
El episodio de Aftermath llega además en un mes denso para Sui en términos de seguridad. Días antes, Volo había sufrido un robo de unos 3,5 millones (recuperando luego el 90%), y Scallop perdió alrededor de 150.000 SUI en un incidente separado. Tres protocolos, tres bugs distintos, mismo ecosistema. Eso explica por qué la Foundation salió a poner el dinero rápido. Cuando la narrativa empieza a ser «Sui tiene un problema de seguridad de aplicaciones», lo último que conviene es dejar a usuarios reclamando en X.
La lectura final es doble. Para los traders, Aftermath probablemente vuelva a operar pronto, los usuarios afectados van a recibir su dinero, y el incidente se va a archivar como un susto de un día. Para quienes miran la arquitectura del sector, queda la pregunta de fondo: si los ecosistemas Layer 1 más jóvenes están dispuestos a actuar como prestamista de última instancia frente a errores de protocolos sobre su red, eso reduce el riesgo percibido para el usuario, sí, pero también empieza a parecerse, peligrosamente, a algo que DeFi prometió evitar.
Por Sistemas, el 02/05/2026.
Siguiente