Vulnerabilidad en Aptos: cómo su velocidad amplió un riesgo de $70B

  • Hexens encontró una falla crítica en Aptos que fue corregida antes de que se moviera cualquier fondo.
  • El fallo podría haber permitido a un atacante falsificar activos y empujarlos a través de puentes.
  • Aptos cuestiona la gravedad, pero el CTO de Polygon validó el proof-of-concept.
  • El caso reaviva el argumento a favor de circuit breakers on-chain en L1s rápidas.

Una firma de seguridad ha revelado que Aptos, una de las cadenas de capa 1 más rápidas, estuvo con una falla crítica durante meses antes de que se arreglara en silencio. El 4 de julio, Hexens salió públicamente con un bug que había reportado de forma privada a Aptos el 25 de febrero: una debilidad en el motor que ejecuta los contratos inteligentes de la cadena que, según su propia estimación, ponía en juego hasta 70 mil millones de dólares de riesgo teórico a través de puentes, stablecoins y exchanges conectados. Aptos Labs lo parcheó en cuestión de horas tras ese primer reporte, y nunca se tocó el dinero de ningún usuario. Entonces, ¿por qué un parche de hace cinco meses se convierte ahora en noticia? Dos razones. La cifra, obviamente. Pero también el detalle que hay debajo: lo que Aptos más vende es la velocidad “cruda”, y la velocidad “cruda” es exactamente lo que convierte esos 70 mil millones de dólares de un titular alarmista en una estimación defendible. Un alarde de rendimiento récord, un día después de romperse la historia El 5 de julio, apenas 24 horas después del reporte, la cuenta oficial del proyecto siguió adelante con su actualización mensual programada de tokenomics, reportando 232.500 APT quemados en los últimos 30 días, más de 16 millones de transacciones en un solo día para un nuevo máximo trimestral, y una tarifa promedio de $0,0005 después de un aumento de 10 veces, todo bajo el eslogan “the full stack for markets and machines at work.” La publicación se lee muy distinto en cuanto tienes la divulgación de Hexens frente a ti, porque las transacciones casi gratuitas y el enorme rendimiento que Aptos está promoviendo son exactamente las mismas propiedades que un investigador de seguridad evalúa primero cuando calcula cuánto podría costar realmente un solo bug en el núcleo de la cadena.

Cada transacción en Aptos quema $APT. Nueva actualización del mes:

• 232,5K APT quemados en los últimos 30D
• 1,4M APT quemados en total desde mainnet
• +16M transacciones en un día: nuevo máximo trimestral
• $0,0005 de comisión promedio por tx desde el aumento de 10x

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 de julio de 2026

El bug vivía debajo del código que revisan la mayoría de las auditorías Aptos se construye sobre Move, un lenguaje de programación diseñado específicamente para que este tipo de ataque sea difícil. Move trata los tokens y otros activos digitales como elementos protegidos y verifica, en el momento en que se ejecuta una transacción, que no se esté manejando nada como un tipo incorrecto. Esa promesa de seguridad es una gran parte de por qué Aptos y Sui venden Move como más seguro que entornos más antiguos. La falla de Hexens se deslizó por debajo de esa promesa en lugar de romperla de frente. En términos simples, el sistema funcionó brevemente con información desactualizada y terminó confundiendo un tipo de elemento on-chain con otro. La gente de seguridad llama a eso “type confusion”, un problema antiguo del software en el que un programa lee algo como un tipo incorrecto y pasa directamente por encima de las comprobaciones diseñadas para detenerlo. En una blockchain, esa confusión es peligrosa: un atacante podría disfrazar un elemento malicioso como uno legítimo y engañar a la red para que interprete mal quién posee un activo y quién está autorizado para moverlo. El CTO de Polygon, Mudit Gupta, revisó el proof-of-concept de forma independiente y le dijo a CoinDesk que se ejecutó tal como se afirmó, con la salvedad de que primero debían alinearse algunas condiciones. Al venir del responsable de seguridad de una cadena rival, eso tiene más peso que lo que Aptos o Hexens podrían decir por su cuenta. Por qué las tarifas baratas y el gran volumen empeoran el bug El rendimiento deja de ser aquí una frase de marketing y empieza a comportarse como un multiplicador de riesgo. Hexens ejecutó el ataque contra un conjunto de más de 30 nodos validadores, configurados para reflejar la red real, en un servidor con un costo de alrededor de $3.000 y que representaba aproximadamente una tercera parte del conjunto de validadores. Funcionó 17 o 18 veces de 20, sin acceso interno ni permisos especiales necesarios. Si se incorporan las cifras en vivo, el panorama se afina. A una fracción de centavo por transacción, inundar la cadena con cargas maliciosas es casi gratis. Con 16 millones de transacciones al día, y bloques confirmando en segundos, un atacante que pudiera falsificar activos necesitaría solo una ventana corta para crearlos y moverlos antes de que alguien reaccionara. La velocidad es neutral. El mismo motor que limpia el volumen legítimo en segundos también limpiaría una falsa secuencia de “mint-and-transfer” al mismo ritmo, y los humanos que operan la red no pueden reaccionar tan rápido. Esa es la parte que el post sobre métricas de quemado dejó sin querer subrayada. Dos cifras muy distintas y por qué la brecha importa De aquí salieron dos números, y tratarlos como uno es como la historia se distorsiona. El más pequeño ronda los 250 millones de dólares: el valor en aplicaciones DeFi de Aptos que la firma independiente Grego AI juzgó en riesgo directo. El mayor es 70 mil millones de dólares, y solo aparece cuando sigues la falla hacia afuera mediante puentes entre cadenas como Wormhole y LayerZero, sistemas de stablecoins y los exchanges que negocian APT y sus versiones envueltas. Los puentes son el punto débil. Agrupan activos de varias cadenas a la vez, así que un evento de activo falsificado que empiece en Aptos podría, en el peor caso modelado, drenar dinero que originalmente provenía de Ethereum. Los 70 mil millones de dólares son un total de peor escenario construido sobre una pila de supuestos, no efectivo que estuviera ahí sentado para agarrarlo en un solo movimiento limpio.

| Figura | | --- | Qué representa | Fuente | | --- | --- | | $250M | Valor en apps DeFi de Aptos con riesgo directo | Grego AI | | $70B | Riesgo sistémico de peor caso a través de puentes, stablecoins y exchanges | Hexens | | $3,000 | Costo de servidor para simular aproximadamente una tercera parte de validadores | Hexens | | $1M | Nivel máximo de recompensa por bug en Aptos | Programa de bug bounties de Aptos |

Aptos Labs no disputa el reporte en sí. Confirma la notificación del 25 de febrero a través del programa de recompensas por fallos y dice que el problema ya se estaba trabajando internamente. Lo que cuestiona es la gravedad, argumentando que las condiciones reales de la red hicieron que el exploit fuera mucho más difícil de ejecutar que lo que implicaba la configuración de prueba, y que la explotabilidad en el mundo real es “extremadamente baja.” Esa afirmación choca de frente con la validación independiente de Gupta, y ambas posturas no se han reconciliado públicamente. Hay una segunda brecha que vale la pena señalar, y tiene que ver con incentivos más que con código. El bounty tiene un tope de $1 millón. Un exploit de este tipo obtendría múltiples veces eso en el mercado negro, y Hexens lo divulgó de todos modos: esa es la razón de ejecutar un bounty.

| La lectura de amenaza sistémica | | --- | La lectura de resiliencia | | --- | | Una configuración de $3,000 podría amenazar a una L1 de primer nivel | Corregido en horas, sin disrupción de red | | Un bug central sugiere riesgo de categoría para cadenas Move | Aptos dice que las condiciones reales hicieron que la explotabilidad fuera muy baja | | Un solo fallo podría alcanzar activos en puentes y stablecoins | El bounty orientó a un resultado de “white-hat” por encima de una venta |

Lo que el gráfico de APT está haciendo mientras avanza el debate Los traders, en su mayoría, lo han restado importancia. En el gráfico de 4 horas de Aptos/USD de Coinbase,** extraído a través de TradingView,** APT se intercambió cerca de $0,635 el 7 de julio, manteniéndose por encima de su media móvil de 50 periodos en $0,6061 y de su línea de 100 periodos en $0,6147, mientras se topaba con la media de 200 periodos en $0,6410 como resistencia por encima. Una media móvil no es más que el precio de cierre promedio a lo largo de esas velas, y esta disposición apunta a un rebote real que aún no ha superado la caída más grande, la que arrastró a APT desde alrededor de $1,00 a mediados de mayo hasta cerca de $0,55. El RSI, un indicador de presión compradora que va de 0 a 100, se situó en 58,77, por encima del nivel neutral de 50 pero lejos de la línea de 70 que señala un mercado sobrecalentado. **CoinMarketCap **tenía APT con +9,91% en la semana a $0,6339, así que la divulgación parece más un lastre para el sentimiento que un disparador de una venta real. La corrección que superará este ciclo de noticias Los constructores cargan con el trabajo a corto plazo. Cualquiera que ejecute una app en Aptos tiene razones para re-chequear cómo su código maneja el tipo de caso límite que encontró Hexens, y los grandes inversores podrían mantener una prima de riesgo ligeramente más alta en tokens basados en Move como APT y SUI mientras vuelven a mirar los cimientos de la red. Dos cosas, sin embargo, probablemente permanecerán después de que se apague la cobertura. La primera es el tope del bounty. Un límite de $1 millón parece cada vez más pequeño al lado del valor que está destinado a proteger, y los proyectos que compitan con compradores del mercado negro quizá no tengan otra opción que elevarlo. La segunda es un cambio en la pregunta que los investigadores realmente hacen. Durante años, los derechos de alarde trataban sobre cuántas transacciones puede impulsar una cadena. Este incidente desplaza el foco hacia la habilidad opuesta: qué tan rápido puede una red detenerse a sí misma. Las cadenas rápidas necesitan cada vez más “kill switches” automáticos que congelen las transferencias entre cadenas instantáneamente cuando algo luce mal, porque una vez que un humano lo nota, las transacciones ya habrán ocurrido. Aptos está a punto de ejecutar ese experimento por sí misma. Una propuesta para ocultar los detalles de las transacciones hasta después de confirmarlas, lo que dificultaría el front-running, ya avanza en las votaciones de la comunidad, mientras otras mejoras persiguen tiempos de confirmación aún más rápidos. Cada una de esas cosas añade velocidad y añade valor en juego, la misma combinación que la divulgación de Hexens mostró que puede convertir un solo bug en uno sistémico. Si el próximo momento de seguridad de Move se lee como un alivio o se repite, se reduce a una cosa: si esas mejoras salen con el tipo de salvaguardas integradas que este episodio planteó como argumento.a

Ver original
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
Añadir un comentario
Añadir un comentario
Sin comentarios
  • Fijado