Hexens descubre una vulnerabilidad de confusión de tipos en Aptos, con una tasa de éxito de ataque cercana al 90%.

APT0,17%

El director técnico de la empresa de seguridad Hexens, Vahe Karapetyan, descubrió el 5 de julio una vulnerabilidad de caché obsoleta en la máquina virtual Move de la blockchain Aptos, provocando una confusión de tipos. Esta vulnerabilidad puede engañar al software para que evite las garantías de seguridad de tipos del lenguaje Move. Hexens montó un entorno simulado con un servidor de unos 3.000 dólares, logrando una tasa de éxito cercana al 90% en 20 pruebas de ataque.

Servidor de 3.000 dólares: 20 simulaciones, 17-18 exitosas, tasa de éxito cercana al 90%

Según el informe técnico de Hexens, el equipo de Karapetyan, para verificar la viabilidad de la vulnerabilidad, construyó un entorno simulado cercano a la escala de la red principal: más de 30 nodos validadores, una distribución de staking similar a la red principal, tráfico de transacciones real y alta competencia de ejecución, con un costo de montaje de unos 3.000 dólares. En un ataque real, los costos serían aún menores y no requerirían permisos de validador, conocimiento interno ni acceso privilegiado.

Hexens realizó aproximadamente 20 pruebas en el entorno simulado, con 17-18 exitosas, una tasa de éxito cercana al 90%. Incluso en los 2-3 casos fallidos, la red no se detenía, y el atacante podía esperar pacientemente la siguiente ventana de oportunidad.

Intervención de SEAL911: parche completado en horas y notificación a proyectos downstream

Según informes oficiales de Aptos y CoinDesk, Hexens reportó la vulnerabilidad el 25 de febrero de 2026 a través del programa bug bounty de Aptos. Aptos indicó que, al recibir el reporte, su equipo interno ya estaba trabajando en el problema. El equipo de respuesta de emergencia voluntario de la industria cripto, SEAL911, abrió una sala de guerra ese mismo día. Esa misma tarde, Aptos notificó a los proveedores afectados y a 4 proyectos downstream principales, adjuntando una prueba de concepto (PoC) ejecutable localmente.

Aptos declaró a CoinDesk: "El parche se desarrolló, probó y desplegó en la red principal en cuestión de horas tras el descubrimiento, sin que ningún usuario o fondo resultara afectado en todo el proceso". El pull request público del parche se publicó el 27 de febrero, pero los validadores privados ya habían implementado el parche antes del commit público.

El CTO de Polygon, Mudit Gupta, y Grego AI verifican de forma independiente la validez del PoC

Según informes de CoinDesk, hubo una divergencia notable entre la evaluación de Aptos y la de Hexens: Aptos afirmó que "el análisis sugiere que esta vulnerabilidad es extremadamente difícil de explotar en condiciones del mundo real", mientras que Hexens respondió que no ha recibido ninguna refutación técnica basada en evidencia.

El CTO de Polygon, Mudit Gupta, tras revisar el PoC de forma independiente, declaró: "Funciona como se afirma, la vulnerabilidad tiene sentido... se requieren varias condiciones, pero parece que las lograron en la red principal".

Justus Hanna, CEO de la organización independiente Grego AI, tras verificar el PoC, afirmó tajantemente: "Si un actor malicioso obtuviera esta vulnerabilidad, podría tomar cualquier TVL (valor total bloqueado) que quisiera".

Estimación de riesgo: exposición directa del TVL nativo de Aptos de aproximadamente 250 millones de dólares

Según las evaluaciones de Hexens y Grego AI, la magnitud del riesgo de esta vulnerabilidad se divide en dos niveles:

Exposición directa del TVL nativo de Aptos (evaluación de Grego AI): Basado en una tasa de éxito de ataque cercana al 90%, aproximadamente 250 millones de dólares del TVL nativo de Aptos se ven directamente amenazados, sin incluir la exposición cross-chain.

Riesgo sistémico (evaluación de Hexens): Hasta 70 mil millones de dólares, abarcando puentes cross-chain, sistemas de mensajería cross-chain, procesos de gestión de emisión de stablecoins y activos accesibles desde exchanges centralizados. Esta cifra presupone que el atacante acuñe grandes cantidades de USDC y transfiera los activos a otras cadenas a través del Protocolo de Transferencia Cross-Chain de Circle (CCTP).

Limitación de Circle: Circle indicó que no congelaría activos sin una autorización legal, lo que significa que, si las partes intervienen a tiempo, la probabilidad de que se materialice por completo el riesgo de 70 mil millones de dólares es limitada.

Riesgo de propagación de la cadena de confianza: Los permisos clave de los protocolos en el lenguaje Move (acuñar stablecoins, controlar puentes cross-chain, gestionar mercados de préstamos) se almacenan como "recursos en cadena". Una vez comprometidos, el daño se propagaría a lo largo de la cadena de confianza a todos los sistemas que dependan de ellos.

En las pruebas reales, Hexens llegó a tomar el control de un rol similar al de "master minter", operando siguiendo la ruta de gestión legítima, deteniéndose antes de acuñar monedas, pero esto ya demostró que dichos roles deben incluirse en el modelo de amenazas completo.

Preguntas frecuentes

¿Cuál es la vulnerabilidad de Aptos Move VM y cómo funciona?

Según el informe técnico de Hexens, se trata de un "bug de caché obsoleto (stale-cache bug)" que provoca una "confusión de tipos (type confusion)". El software es engañado para que confunda un recurso en cadena con otro, eludiendo las garantías de seguridad de tipos del lenguaje Move, lo que equivale a permitir que el código controlado por el atacante escriba directamente en el espacio de almacenamiento de otros contratos.

¿Se ha parcheado esta vulnerabilidad? ¿Cuál fue el cronograma?

Según la declaración oficial de Aptos, la vulnerabilidad se reportó el 25 de febrero de 2026, y en cuestión de horas se completó el parche, se probó y se desplegó en la red principal. Los validadores privados completaron el despliegue incluso antes. El PR público se publicó el 27 de febrero. Aptos afirmó que ningún usuario o fondo resultó afectado durante todo el proceso.

¿Cómo se calculó el riesgo sistémico de 70 mil millones de dólares evaluado por Hexens?

Según la evaluación de Hexens, los 70 mil millones de dólares abarcan puentes cross-chain, sistemas de mensajería cross-chain, emisión de stablecoins y activos accesibles desde exchanges centralizados. La premisa es que el atacante acuña grandes cantidades de USDC y las transfiere a otras cadenas a través de Circle CCTP. Circle indicó que no congelaría activos sin autorización legal, y si las partes intervienen a tiempo, la probabilidad de materialización total del riesgo es limitada.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios