O Aftermath Finance foi atacado, com um prejuízo de 114 milhões, e a Mysten Labs compromete-se a compensar integralmente os utilizadores

De acordo com a análise técnica do incidente de ataque e a declaração oficial da Aftermath Finance divulgadas pela GoPlus a 30 de abril, a plataforma de contratos perpétuos Aftermath Finance na rede Sui foi alvo de um ataque a 29 de abril, com perdas superiores a 1,14 milhões de dólares. A equipa do projeto anunciou que, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores receberão uma compensação integral.

Princípio do ataque: abuso de permissões ADMIN e falha no formato de taxas

De acordo com a análise técnica da GoPlus, o atacante terá abusado da permissão ADMIN da função add_integrator_config e, em seguida, explorado uma falha de incompatibilidade de símbolos na função calculate_taker_fees para extrair lucros em tokens de forma repetida.

De acordo com a declaração oficial da Aftermath Finance, o mecanismo central explorado foi a “taxa de código de construção” (builder code fees) — um mecanismo que devolve parte das taxas de transação ao front-end de integração ou ao serviço de roteamento de ordens. A declaração indica que a lógica do contrato “permite incorretamente definir builder code fees negativos”, e que este defeito de conceção permitiu ao atacante configurar valores de taxas abaixo de zero, extraindo de forma contínua fundos do protocolo.

A Aftermath Finance esclareceu que o impacto do ataque se limitou ao protocolo de contratos perpétuos; as transações à vista, os routers inteligentes entre protocolos, os derivados de staking de liquidez afSUI e as pools de AMM não foram afetados e mantiveram o funcionamento normal. A Aftermath Finance salientou também que este ataque não constitui um problema de segurança inerente à linguagem Move.

O endereço da carteira Sui associado ao atacante 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e foi acompanhado publicamente através do explorador de blocos da Sui, Suivision.

Resposta da Aftermath Finance e plano de compensação

De acordo com a declaração pública do cofundador da Aftermath Finance, airtx, na plataforma X, após a ocorrência do ataque, a equipa da Aftermath Finance suspendeu as transações maliciosas e trabalhou em conjunto com a empresa de segurança on-chain Blockaid num “war room” para a recuperação; a Blockaid é uma plataforma de segurança on-chain confiada pelo MetaMask, Coinbase e outras carteiras mainstream, responsável por apoiar a análise dos vetores de ataque e o seguimento da carteira do atacante.

De acordo com o anúncio mais recente da Aftermath Finance, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores afetados receberão uma compensação integral; a Aftermath Finance afirma que, neste momento, está em curso a recuperação dos fundos.

Contexto de ataques na ecossistema Sui DeFi

De acordo com reportagens da indústria, em abril de 2026 ocorreram múltiplos incidentes de segurança consecutivos no ecossistema Sui: a Volo Vault foi atacada, com perdas de cerca de 3,5 milhões de dólares (cerca de 60% já recuperados); a Scallop divulgou, dois dias antes do ataque, uma falha de flash loan direcionada a contratos de recompensas sSUI entretanto descontinuados, com perdas de 142 mil dólares.

De acordo com estatísticas da indústria, as perdas totais por falhas em DeFi em abril de 2026 ultrapassaram os 606 milhões de dólares, ficando entre os meses mais graves desde fevereiro de 2025; os principais incidentes incluem a falha do Kelp DAO em rsETH (292 milhões de dólares), o ataque de engenharia social ao Drift Protocol (285 milhões de dólares) e explorações de vulnerabilidades em projetos como Mantra Chain e Lista DAO.

Perguntas frequentes

Quando ocorreu o ataque da Aftermath Finance e qual foi a causa técnica?

De acordo com a análise técnica da GoPlus e a declaração oficial da Aftermath Finance, o ataque ocorreu a 29 de abril de 2026. O atacante explorou as permissões ADMIN da função add_integrator_config e a falha de incompatibilidade de símbolos na função calculate_taker_fees, extraindo tokens de forma repetida ao definir builder code fees negativos, confirmando-se perdas de 1,14 milhões de dólares.

Como é que a Aftermath Finance garante que os fundos dos utilizadores recebem compensação integral?

De acordo com a declaração oficial da Aftermath Finance, com o apoio da Mysten Labs e da Sui Foundation, todos os utilizadores afetados receberão uma compensação integral; a Aftermath Finance afirma que, neste momento, está em curso a recuperação dos fundos.

Este ataque envolveu alguma vulnerabilidade de segurança na linguagem Sui Move?

De acordo com a declaração oficial da Aftermath Finance, este ataque não se deve a um problema de segurança da própria linguagem Move, mas sim a um erro de configuração de taxas na lógica do contrato específico. Os restantes produtos, como transações à vista, staking de liquidez afSUI e pools de AMM, não foram afetados.