El director técnico de la empresa de seguridad Hexens, Vahe Karapetyan, descubrió el 5 de julio una vulnerabilidad de caché obsoleta en la máquina virtual Move de la blockchain Aptos, provocando una confusión de tipos. Esta vulnerabilidad puede engañar al software para que evite las garantías de seguridad de tipos del lenguaje Move. Hexens montó un entorno simulado con un servidor de unos 3.000 dólares, logrando una tasa de éxito cercana al 90% en 20 pruebas de ataque.
Según el informe técnico de Hexens, el equipo de Karapetyan, para verificar la viabilidad de la vulnerabilidad, construyó un entorno simulado cercano a la escala de la red principal: más de 30 nodos validadores, una distribución de staking similar a la red principal, tráfico de transacciones real y alta competencia de ejecución, con un costo de montaje de unos 3.000 dólares. En un ataque real, los costos serían aún menores y no requerirían permisos de validador, conocimiento interno ni acceso privilegiado.
Hexens realizó aproximadamente 20 pruebas en el entorno simulado, con 17-18 exitosas, una tasa de éxito cercana al 90%. Incluso en los 2-3 casos fallidos, la red no se detenía, y el atacante podía esperar pacientemente la siguiente ventana de oportunidad.
Según informes oficiales de Aptos y CoinDesk, Hexens reportó la vulnerabilidad el 25 de febrero de 2026 a través del programa bug bounty de Aptos. Aptos indicó que, al recibir el reporte, su equipo interno ya estaba trabajando en el problema. El equipo de respuesta de emergencia voluntario de la industria cripto, SEAL911, abrió una sala de guerra ese mismo día. Esa misma tarde, Aptos notificó a los proveedores afectados y a 4 proyectos downstream principales, adjuntando una prueba de concepto (PoC) ejecutable localmente.
Aptos declaró a CoinDesk: "El parche se desarrolló, probó y desplegó en la red principal en cuestión de horas tras el descubrimiento, sin que ningún usuario o fondo resultara afectado en todo el proceso". El pull request público del parche se publicó el 27 de febrero, pero los validadores privados ya habían implementado el parche antes del commit público.
Según informes de CoinDesk, hubo una divergencia notable entre la evaluación de Aptos y la de Hexens: Aptos afirmó que "el análisis sugiere que esta vulnerabilidad es extremadamente difícil de explotar en condiciones del mundo real", mientras que Hexens respondió que no ha recibido ninguna refutación técnica basada en evidencia.
El CTO de Polygon, Mudit Gupta, tras revisar el PoC de forma independiente, declaró: "Funciona como se afirma, la vulnerabilidad tiene sentido... se requieren varias condiciones, pero parece que las lograron en la red principal".
Justus Hanna, CEO de la organización independiente Grego AI, tras verificar el PoC, afirmó tajantemente: "Si un actor malicioso obtuviera esta vulnerabilidad, podría tomar cualquier TVL (valor total bloqueado) que quisiera".
Según las evaluaciones de Hexens y Grego AI, la magnitud del riesgo de esta vulnerabilidad se divide en dos niveles:
Exposición directa del TVL nativo de Aptos (evaluación de Grego AI): Basado en una tasa de éxito de ataque cercana al 90%, aproximadamente 250 millones de dólares del TVL nativo de Aptos se ven directamente amenazados, sin incluir la exposición cross-chain.
Riesgo sistémico (evaluación de Hexens): Hasta 70 mil millones de dólares, abarcando puentes cross-chain, sistemas de mensajería cross-chain, procesos de gestión de emisión de stablecoins y activos accesibles desde exchanges centralizados. Esta cifra presupone que el atacante acuñe grandes cantidades de USDC y transfiera los activos a otras cadenas a través del Protocolo de Transferencia Cross-Chain de Circle (CCTP).
Limitación de Circle: Circle indicó que no congelaría activos sin una autorización legal, lo que significa que, si las partes intervienen a tiempo, la probabilidad de que se materialice por completo el riesgo de 70 mil millones de dólares es limitada.
Riesgo de propagación de la cadena de confianza: Los permisos clave de los protocolos en el lenguaje Move (acuñar stablecoins, controlar puentes cross-chain, gestionar mercados de préstamos) se almacenan como "recursos en cadena". Una vez comprometidos, el daño se propagaría a lo largo de la cadena de confianza a todos los sistemas que dependan de ellos.
En las pruebas reales, Hexens llegó a tomar el control de un rol similar al de "master minter", operando siguiendo la ruta de gestión legítima, deteniéndose antes de acuñar monedas, pero esto ya demostró que dichos roles deben incluirse en el modelo de amenazas completo.
Según el informe técnico de Hexens, se trata de un "bug de caché obsoleto (stale-cache bug)" que provoca una "confusión de tipos (type confusion)". El software es engañado para que confunda un recurso en cadena con otro, eludiendo las garantías de seguridad de tipos del lenguaje Move, lo que equivale a permitir que el código controlado por el atacante escriba directamente en el espacio de almacenamiento de otros contratos.
Según la declaración oficial de Aptos, la vulnerabilidad se reportó el 25 de febrero de 2026, y en cuestión de horas se completó el parche, se probó y se desplegó en la red principal. Los validadores privados completaron el despliegue incluso antes. El PR público se publicó el 27 de febrero. Aptos afirmó que ningún usuario o fondo resultó afectado durante todo el proceso.
Según la evaluación de Hexens, los 70 mil millones de dólares abarcan puentes cross-chain, sistemas de mensajería cross-chain, emisión de stablecoins y activos accesibles desde exchanges centralizados. La premisa es que el atacante acuña grandes cantidades de USDC y las transfiere a otras cadenas a través de Circle CCTP. Circle indicó que no congelaría activos sin autorización legal, y si las partes intervienen a tiempo, la probabilidad de materialización total del riesgo es limitada.
Noticias relacionadas
Pérdida de 820 mil dólares por vulnerabilidad en Hinkal DeFi, 410 ETH implicados en lavado de dinero.
Un conocido trader monitorea: las acciones de Strategy presuntamente venden 491 BTC, autenticidad aún por verificar.
Drift Protocol se renombra como Velocity DEX, plan de reinicio tras robo de 280 millones de dólares
Las pérdidas por hacks cripto cayeron a 75,9 millones de dólares en junio, el exploit de Humanity lidera.