Un bug de caché obsoleto en la Máquina Virtual Move de Aptos brindó a los investigadores una tasa de éxito cercana al 90% para romper las garantías de seguridad centrales de la cadena, con costos de ataque de solo unos cientos de dólares.
Un bug de caché obsoleto en la Máquina Virtual Move de Aptos brindó a los investigadores una tasa de éxito cercana al 90% para romper las garantías de seguridad centrales de la cadena, con costos de ataque de solo unos cientos de dólares.

Un bug de caché obsoleto en la Máquina Virtual Move de Aptos brindó a los investigadores una tasa de éxito cercana al 90% para romper las garantías de seguridad centrales de la cadena, con costos de ataque de solo unos cientos de dólares.
Un servidor de 3.000 dólares fue suficiente para que investigadores de seguridad simularan un ataque a la blockchain de Aptos que podría haber puesto en riesgo hasta 70.000 millones de dólares en infraestructura cripto, según hallazgos publicados el viernes.
"Funcionó según lo afirmado, y el exploit tenía sentido", dijo Mudit Gupta, director de tecnología de Polygon, a CoinDesk después de revisar de forma independiente los materiales de prueba de concepto. "Requería que se cumplieran ciertas condiciones, lo que parece que sí se cumplieron en la mainnet".
Investigadores de Hexens, una firma de seguridad blockchain, identificaron un bug de caché obsoleto que derivaba en una vulnerabilidad de confusión de tipos en la máquina virtual Move de Aptos, el entorno de ejecución que procesa los contratos inteligentes en la cadena. El equipo ejecutó la ruta del exploit aproximadamente 20 veces en un entorno simulado y tuvo éxito 17 o 18 veces —una tasa de éxito cercana al 90%— utilizando una configuración de servidor que costó alrededor de 3.000 dólares para simular aproximadamente un tercio de la red de validadores. El ataque no requirió acceso interno ni permisos especiales.
La vulnerabilidad fue reportada a través de los canales de emergencia SEAL911 el 25 de febrero, y Aptos implementó un parche en la mainnet en cuestión de horas. No se perdieron fondos. Pero la revelación muestra cómo un solo bug no detectado en la capa de ejecución de una blockchain de capa 1 podría propagarse a través de puentes, emisores de stablecoins y exchanges centralizados, convirtiendo un fallo de protocolo contenido en una crisis de mercado.
Cómo funcionaba el bug
La sensibilidad de esta clase de bug radica en cómo el lenguaje Move maneja la autoridad. Los permisos de protocolo en Move —incluyendo el derecho a acuñar una stablecoin, controlar un puente o administrar un mercado de préstamos— se almacenan directamente como recursos en la cadena. Si esos recursos se ven comprometidos, el daño se extiende a todo lo que confía en ellos.
Los investigadores de Hexens compararon el bug con una falla en una cadena de estilo Ethereum que permitiría que código controlado por un atacante escribiera en el almacenamiento perteneciente a otros contratos, eludiendo las garantías del sistema de tipos que Move fue diseñado específicamente para mantener.
Grego AI, que verificó de forma independiente la prueba de concepto de Hexens, calculó que aproximadamente 250 millones de dólares en valor total bloqueado nativo de Aptos estaban directamente en riesgo según la tasa de éxito cercana al 90%, aparte de la exposición跨cadena más amplia.
El riesgo sistémico de 70.000 millones de dólares
Hexens evaluó que el riesgo sistémico de primer orden más amplio era de aproximadamente 70.000 millones de dólares —una cifra que incluye el valor accesible a través de puentes, sistemas de mensajería entre cadenas, flujos de administración de stablecoins y exchanges centralizados. Grego AI señaló que el exploit también podría usarse para robar capacidades de protocolo en poder de LayerZero, Wormhole y el Protocolo de Transferencia Entre Cadenas de USDC.
"Si actores maliciosos hubieran tenido acceso a este bug, habrían podido tomar todo el TVL que quisieran", dijo Justus Hanna, director ejecutivo de Grego AI.
La estimación de 70.000 millones de dólares se basa en acuñar una gran cantidad de USDC y usar CCTP de Circle para moverlo entre cadenas. En la práctica, Circle podría detener las transferencias de USDC, aunque el emisor de la stablecoin ha enfrentado críticas después de decir que no congela activos sin autorización legal. Aun así, los investigadores demostraron acceso a roles de minero maestro, capacidades de firmante de puentes y estado contable del protocolo —el tipo de autoridad que se encuentra en la cúspide de los sistemas entre cadenas.
El vector dominante hacia la superficie más amplia pasa a través de los exchanges centralizados, específicamente las vías del puente de Aptos que conectan la actividad en cadena con la acreditación de depósitos en los exchanges.
Respuesta y divulgación
El mismo día que Hexens presentó su informe, se abrió una sala de emergencia SEAL911 para coordinar la respuesta. El proveedor fue notificado horas después, y cuatro grandes proyectos descendentes fueron alertados esa misma tarde, cada uno recibiendo material de prueba de concepto ejecutable localmente y análisis de los patrones de autoridad relevantes.
Una solicitud de extracción pública que reflejaba el parche estuvo disponible el 27 de febrero. Aptos declaró que se había implementado un parche para validadores privados antes del commit público. Un portavoz de Aptos dijo a CoinDesk que "se desarrolló, probó e implementó una solución en la mainnet en cuestión de horas desde el descubrimiento. Ningún usuario o fondo se vio afectado en ningún momento". El portavoz también cuestionó la explotabilidad práctica del bug, diciendo que el análisis de la compañía determinó que tendría "una explotabilidad extremadamente baja en condiciones del mundo real".
Hexens dijo que no ha recibido una refutación técnica ni un argumento basado en evidencia que contradiga las clases de impacto demostradas. La firma dijo que la principal preocupación transmitida a los investigadores involucraba los aspectos probabilísticos del exploit —precisamente lo que el trabajo de calibración del equipo fue diseñado para abordar.
Si un atacante hubiera encontrado y explotado el bug, podría haber superado los 1.500 millones de dólares robados en el hack de Bybit el año pasado. En junio, Zcash cayó un 38% después de que los desarrolladores revelaran un bug crítico que había pasado desapercibido en su grupo de privacidad durante cuatro años, uno que podría haber permitido a un atacante imprimir tokens falsificados ilimitados. La divulgación de Aptos se suma a una creciente lista de cuasi accidentes que ponen a prueba la capacidad de la industria para detectar y parchear fallos críticos antes de que sean explotados.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.