Saltar al contenido
Est. MMXXVIVol. VI · № 284RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 279Otro

Exploit del vault afiUSD de AFI Protocol

Un atacante drenó unos 480.000 USD del vault afiUSD de AFI Protocol en Ethereum, cambiando DAI por ETH y enviando unos 150 ETH a través de Tornado Cash; la causa raíz no se reveló de inmediato.

Fecha
Víctima
AFI Protocol
Cadena(s)
Ethereum
Estado
Fondos robados

El 30 de mayo de 2026, AFI Protocol perdió aproximadamente 480.000 dólares cuando un atacante explotó su vault afiUSD en Ethereum. afiUSD es el producto de stablecoin con rendimiento del protocolo, comercializado junto a la infraestructura de prueba de reservas de AFI para activos del mundo real.

Qué ocurrió

El atacante vació el vault afiUSD y comenzó a lavar las ganancias: unos 252.000 dólares en DAI se cambiaron por ETH mediante operaciones on-chain, y alrededor de 150 ETH se enviaron después a Tornado Cash tras probar el atacante una billetera secundaria con una pequeña transferencia. AFI pausó el vault afectado, abrió una investigación y dijo estar trabajando con Quantstamp, Cantina y SEAL 911 para rastrear y recuperar los fondos robados. Al momento de la actualización del protocolo, no se había publicado la ruta completa del exploit, por lo que el incidente no debe presentarse como un fallo confirmado de oráculo, de claves o de diseño del vault hasta que llegue el post-mortem. AFI afirmó que sus sistemas restantes estaban seguros, con más de 225 millones de dólares en valor total bloqueado sin afectar.

Consecuencias

AFI marcó las direcciones del atacante ante exchanges centralizados y socios del ecosistema a través de SEAL 911 en un esfuerzo por congelar el movimiento de los fondos mientras continuaba el rastreo. No se había confirmado ninguna recuperación al momento de la publicación, y el uso de Tornado Cash por parte del atacante deja el ETH lavado difícil de seguir.

Por qué importa

El incidente de afiUSD es un ejemplo pequeño pero característico de cómo los vaults de stablecoins con rendimiento concentran el riesgo: un único contrato que retiene depósitos agrupados se convierte en un objetivo de alto valor, y un drenaje limpio seguido de un salto inmediato a Tornado Cash es ya el manual por defecto. Se suma a otros exploits de stablecoins y vaults de 2024–2026 como Resupply y Abracadabra, y subraya por qué una causa raíz no revelada es motivo de cautela, no de tranquilidad — la pregunta relevante no es si se perdieron 480.000 dólares, sino si el mismo fallo afecta al resto del TVL del protocolo.

Fuentes y evidencia on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/06/09/afi-protocol-shares-incident-update-after-480k-exploit-begins-recovery/
  2. [02]cryptoadventure.comhttps://cryptoadventure.com/afiusd-vault-exploit-drains-480k-as-june-hack-run-continues/

Registros relacionados