Vulnerabilidad de Aptos: Cómo su velocidad amplió un riesgo $70B

  • Hexens encontró una falla crítica en Aptos que fue corregida antes de que se movieran fondos.
  • El error podría haber permitido a un atacante falsificar activos y transferirlos a través de puentes.
  • Aptos cuestiona la gravedad, pero el CTO de Polygon validó la prueba de concepto.
  • El caso revive el debate sobre los interruptores automáticos en cadena en L1 rápidas.

Una firma de seguridad ha revelado que Aptos, una de las cadenas de bloques de capa 1 más rápidas, tenía una falla crítica durante meses antes de que se solucionara silenciosamente. El 4 de julio, Hexens hizo público un error que había reportado de forma privada a Aptos el 25 de febrero, una debilidad en el motor que ejecuta los contratos inteligentes de la cadena que, según su propia estimación, puso en riesgo teórico hasta 70 mil millones de dólares en puentes, stablecoins y exchanges conectados. Aptos Labs lo parcheó en cuestión de horas tras ese primer informe y nunca se tocaron fondos de usuarios. Entonces, ¿por qué un parche de hace cinco meses es noticia ahora? Dos razones. El número, obviamente. Pero también el detalle subyacente: lo que Aptos más promociona es la velocidad bruta, y esa velocidad bruta es exactamente lo que convierte 70 mil millones de dólares de un titular alarmista en una estimación defendible. Un alarde de rendimiento récord, un día después de que estallara la historia El 5 de julio, apenas 24 horas después del informe, la cuenta oficial del proyecto siguió adelante con su actualización mensual programada de tokenómica, reportando 232.500 APT quemados en los últimos 30 días, más de 16 millones de transacciones en un solo día para un nuevo máximo trimestral y una tarifa promedio de 0,0005 dólares tras un aumento de 10 veces en las tarifas, todo bajo el lema «la pila completa para mercados y máquinas en funcionamiento». La publicación se lee de manera muy diferente cuando tienes la divulgación de Hexens frente a ti, porque las transacciones casi gratuitas y el enorme rendimiento que Aptos está promocionando son exactamente las mismas propiedades que un investigador de seguridad evalúa primero al calcular cuánto podría costar realmente un solo error en el núcleo de la cadena.

Cada transacción en Aptos quema $APT. Actualización mensual:

• 232.5K APT quemados en los últimos 30 días
• 1,4 millones de APT total quemados desde mainnet
• +16 millones de transacciones en un día: un nuevo máximo trimestral
• Tarifa tx promedio de $0,0005 desde el aumento de 10x en tarifas

La pila completa para mercados y máquinas en funcionamiento. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 de julio de 2026

El error vivía por debajo del código que la mayoría de las auditorías revisan Aptos está construido sobre Move, un lenguaje de programación diseñado específicamente para hacer que este tipo de ataque sea difícil. Move trata los tokens y otros activos digitales como elementos protegidos y verifica, en el momento en que se ejecuta una transacción, que nada se esté manejando como el tipo incorrecto de cosa. Esa promesa de seguridad es una gran parte de por qué Aptos y Sui promocionan Move como más seguro que entornos anteriores. La falla de Hexens se deslizó por debajo de esa promesa en lugar de romperla de frente. En términos simples, el sistema funcionó brevemente con información desactualizada y terminó confundiendo un tipo de elemento en cadena con otro. Los expertos en seguridad llaman a esto «confusión de tipos», un viejo problema de software donde un programa lee algo como el tipo incorrecto y pasa por alto las verificaciones diseñadas para detenerlo. En una cadena de bloques, esa confusión es peligrosa: un atacante podría disfrazar un elemento malicioso como uno legítimo y engañar a la red para que malinterprete quién posee un activo y quién tiene permiso para moverlo. Mudit Gupta, CTO de Polygon, revisó la prueba de concepto de forma independiente y le dijo a CoinDesk que funcionaba como se afirmaba, con la salvedad de que algunas condiciones tenían que alinearse primero. Viniendo del jefe de seguridad de una cadena rival, eso tiene más peso que cualquier cosa que Aptos o Hexens pudieran decir por su cuenta. Por qué las tarifas baratas y el enorme volumen empeoran el error El rendimiento deja de ser una línea de marketing aquí y se comporta como un multiplicador de riesgos. Hexens ejecutó el ataque contra un clúster de más de 30 nodos validadores, configurados para reflejar la red real, en un servidor que costó alrededor de 3.000 dólares y representaba aproximadamente un tercio del conjunto de validadores. Funcionó 17 o 18 veces de cada 20, sin necesidad de acceso interno ni permisos especiales. Si se incorporan las cifras reales, el panorama se vuelve más claro. A una fracción de centavo por transacción, inundar la cadena con cargas maliciosas es casi gratis. Con 16 millones de transacciones al día y bloques que se confirman en segundos, un atacante que pudiera falsificar activos solo necesitaría una ventana corta para crearlos y moverlos antes de que alguien reaccionara. La velocidad es neutral. El mismo motor que procesa volumen legítimo en segundos procesaría una ejecución falsa de acuñación y transferencia al mismo ritmo, y los humanos que gestionan la red no pueden reaccionar tan rápido. Esa es la parte que la publicación de métricas de quema subrayó accidentalmente. Dos cifras muy diferentes y por qué la brecha importa Dos cifras surgieron de esto, y tratarlas como una sola es cómo se distorsiona la historia. La más pequeña ronda los 250 millones de dólares, el valor depositado en aplicaciones DeFi de Aptos que la firma independiente Grego AI consideró en riesgo directo. La más grande son los 70 mil millones de dólares, y solo aparece cuando se sigue la falla a través de puentes entre cadenas como Wormhole y LayerZero, sistemas de stablecoins y los exchanges que negocian APT y sus versiones envueltas. Los puentes son el punto débil. Agrupan activos de varias cadenas a la vez, por lo que un evento de activos falsificados que comience en Aptos podría, en el peor de los casos modelados, drenar dinero que originalmente provenía de Ethereum. Los 70 mil millones de dólares son un total de caso peor construido sobre una pila de supuestos, no efectivo que estuviera esperando para ser tomado en un movimiento limpio.

| Cifra | | --- | Lo que representa | Fuente | | --- | --- | --- | | 250 millones de dólares | Valor en aplicaciones DeFi de Aptos en riesgo directo | Grego AI | | 70 mil millones de dólares | Riesgo sistémico en el peor caso a través de puentes, stablecoins, exchanges | Hexens | | 3.000 dólares | Costo del servidor para simular aproximadamente un tercio de los validadores | Hexens | | 1 millón de dólares | Nivel máximo de recompensa por errores de Aptos | Programa de recompensas por errores de Aptos |

Aptos Labs no cuestiona el informe en sí. Confirma la notificación del 25 de febrero a través del programa de recompensas por errores y dice que el problema ya se estaba trabajando internamente. Lo que discute es la gravedad, argumentando que las condiciones reales de la red hicieron que la explotación fuera mucho más difícil de lo que implicaba la configuración de prueba, y sitúa la explotabilidad en el mundo real como «extremadamente baja». Esa afirmación choca directamente con la validación independiente de Gupta, y las dos posturas no se han reconciliado en público. Hay una segunda brecha que vale la pena señalar, y se trata de incentivos más que de código. La recompensa máxima es de 1 millón de dólares. Una explotación de este tipo obtendría muchos múltiplos de eso en el mercado negro, y Hexens divulgó de todos modos, que es el objetivo de tener un programa de recompensas.

| La lectura de amenaza sistémica | | --- | La lectura de resiliencia | | --- | --- | | Una configuración de 3.000 dólares podría amenazar una capa 1 de primer nivel | Parcheado en horas, sin interrupción de la red | | Un error central insinúa un riesgo de categoría para las cadenas Move | Aptos dice que las condiciones reales hicieron la explotabilidad muy baja | | Una falla podría alcanzar activos de puentes y stablecoins | La recompensa orientó un resultado de sombrero blanco en lugar de una venta |

Qué está haciendo el gráfico de APT mientras el debate avanza Los traders lo han ignorado en su mayoría. En el gráfico de 4 horas de Aptos/USD de Coinbase,** extraído a través de TradingView,** APT cambió de manos cerca de 0,635 dólares el 7 de julio, manteniéndose por encima de su media móvil de 50 períodos en 0,6061 dólares y su línea de 100 períodos en 0,6147 dólares, mientras se topaba con la media de 200 períodos en 0,6410 dólares como resistencia superior. Una media móvil es solo el precio de cierre promedio de ese número de velas, y este diseño apunta a un rebote real que aún no ha superado la tendencia bajista más grande, la que arrastró a APT desde aproximadamente 1,00 dólares a mediados de mayo hasta cerca de 0,55 dólares. El RSI, un indicador de la presión compradora que va de 0 a 100, se situó en 58,77, por encima del nivel neutral de 50 pero lejos de la línea de 70 que señala un mercado sobrecalentado. CoinMarketCap mostraba a APT subiendo un 9,91 por ciento en la semana a 0,6339 dólares, por lo que la divulgación parece un lastre para el sentimiento más que un detonante para ventas reales. La solución que perdura más allá de este ciclo de noticias Los constructores cargan con la carga a corto plazo. Cualquiera que ejecute una aplicación en Aptos tiene un motivo para volver a verificar cómo su código maneja el tipo de caso límite que encontró Hexens, y los grandes inversores pueden mantener una prima de riesgo ligeramente más alta en tokens basados en Move como APT y SUI mientras vuelven a examinar los fundamentos de la red. Sin embargo, dos cosas probablemente perdurarán después de que la cobertura se desvanezca. La primera es el techo de recompensas. Un límite de 1 millón de dólares parece cada vez más pequeño junto al valor que pretende proteger, y los proyectos que compiten con compradores del mercado negro pueden tener poca opción más que aumentarlo. La segunda es un cambio en la pregunta que los investigadores realmente se hacen. Durante años, los derechos de fanfarronear giraban en torno a cuántas transacciones podía procesar una cadena. Este incidente empuja el foco hacia la habilidad opuesta: la rapidez con la que una red puede detenerse a sí misma. Las cadenas rápidas necesitan cada vez más «interruptores de apagado» automáticos que congelen las transferencias entre cadenas en el instante en que algo parece sospechoso, porque cuando un humano se da cuenta, las transacciones ya se han ejecutado. Aptos está a punto de ejecutar ese experimento sobre sí misma. Una propuesta para ocultar los detalles de las transacciones hasta después de que se confirmen, lo que dificultaría el front-running, ya está avanzando en la votación de la comunidad, mientras que otras actualizaciones buscan tiempos de confirmación aún más rápidos. Cada una de ellas añade velocidad y valor en juego, la misma combinación que la divulgación de Hexens mostró que puede convertir un solo error en uno sistémico. Si el próximo momento de seguridad de Move se lee como tranquilidad o repetición depende de una cosa: si estas actualizaciones llegan con el tipo de salvaguardas integradas que este episodio defendió.

Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
Sin comentarios
  • Fijado