Por pouco! Empresa de segurança cibernética descobre vulnerabilidade na Aptos: US$ 70 bilhões em criptomoedas sob risco sistêmico.

Hackers de chapéu branco da empresa de segurança Hexens encontraram uma vulnerabilidade de confusão de tipos no Move Virtual Machine da blockchain Aptos, com taxa de sucesso de ataque próxima de 90%. A Hexens estima que, se explorada maliciosamente, o risco sistêmico envolvendo pontes cross-chain, emissão de stablecoins e exchanges pode chegar a US$ 70 bilhões.
(Contexto: O diretor jurídico-chefe da Grayscale, Craig Salm, afirmou que a vulnerabilidade do Zcash provavelmente não será explorada antes da correção)
(Complemento: Hackers de chapéu branco revelaram uma vulnerabilidade 0-day no Cosmos! A reinicialização do nó pode causar deadlock total e paralisação, mas a equipe oficial tratou o aviso como spam)

Índice

Toggle

  • Servidor de US$ 3.000, 18 sucessos em 20 simulações
  • SEAL911 respondeu durante a noite, correção rápida em 48 horas
  • "Quase impossível de explorar"? Verificação de terceiros contradiz a afirmação oficial
  • De US$ 250 milhões a US$ 70 bilhões: ampliação em camadas da estimativa de risco

Um servidor com custo de montagem inferior a US$ 3.000, mais uma equipe de hackers de chapéu branco, foi suficiente para expor ativos cripto no valor de US$ 70 bilhões ao risco? Esta é a conclusão de um ataque simulado realizado pela empresa de segurança Hexens na blockchain Aptos. Os pesquisadores reproduziram o ataque em condições próximas às reais da mainnet, com taxa de sucesso próxima de 90%.

O CTO da Hexens, Vahe Karapetyan, foi o descobridor desta vulnerabilidade. O problema, escondido no Move Virtual Machine da Aptos (o ambiente central responsável pela execução de contratos inteligentes), foi chamado pela Hexens de "stale-cache bug" (bug de cache obsoleto), que leva a uma "type confusion" (confusão de tipos).

Simplificando, o software é enganado, confundindo um tipo de recurso on-chain com outro. Analogamente à arquitetura do Ethereum, equivale a permitir que o código controlado pelo atacante escreva diretamente no espaço de armazenamento de outros contratos, contornando completamente a garantia de segurança de tipos que a linguagem Move deveria manter.

Servidor de US$ 3.000, 18 sucessos em 20 simulações

A equipe de Karapetyan, para verificar a viabilidade real da vulnerabilidade, construiu um ambiente simulado próximo ao tamanho da mainnet: mais de 30 nós validadores, distribuição de staking próxima da real da mainnet, além de tráfego de transações reais e alta concorrência de execução. O custo para montar todo esse ambiente foi de apenas cerca de US$ 3.000; se um ataque real fosse lançado, o custo seria ainda menor, e não seriam necessárias permissões de validador, conhecimento interno ou qualquer acesso privilegiado.

A equipe testou cerca de 20 vezes no ambiente simulado, com sucesso de 17 a 18 vezes, resultando em uma taxa de sucesso próxima a 90%. Mesmo com 2 a 3 falhas ocasionais, a rede não pararia, e o atacante poderia esperar pacientemente pela próxima janela para agir novamente.

SEAL911 respondeu durante a noite, correção rápida em 48 horas

A Hexens relatou formalmente a vulnerabilidade em 25 de fevereiro de 2026 por meio do programa bug bounty da Aptos.

A Aptos afirmou que, no momento em que recebeu o relatório, a equipe interna já estava tratando o problema em paralelo. No mesmo dia, a equipe de resposta de emergência voluntária da indústria cripto, "SEAL911", montou uma sala de guerra. Essa equipe tornou-se nos últimos anos uma camada crítica de primeira linha para resposta a vulnerabilidades graves no ecossistema cripto.

Em algumas horas, a Aptos notificou os fornecedores afetados e, na mesma tarde, informou mais 4 projetos downstream principais, anexando uma prova de conceito (PoC) executável localmente. No dia 27 de fevereiro, um pull request público de correção já estava no ar; a Aptos destacou que, antes do commit público, a equipe já havia implantado a correção em validadores privados.

O oficial da Aptos disse ao CoinDesk: "Quando recebemos o relatório pelo bug bounty em 25 de fevereiro, internamente já estávamos tratando em paralelo. A correção foi desenvolvida, testada e implantada na mainnet em poucas horas após a descoberta, sem que nenhum usuário ou fundo fosse afetado durante todo o processo."

"Quase impossível de explorar"? Verificação de terceiros contradiz a afirmação oficial

No entanto, há uma discrepância clara entre a posição pública da Aptos e a avaliação da Hexens. A Aptos disse ao CoinDesk: "Nossa análise considera que esta vulnerabilidade tem probabilidade extremamente baixa de ser explorada em condições do mundo real." A Hexens respondeu que até agora não recebeu nenhuma refutação técnica baseada em evidências, e a única preocupação levantada pela equipe oficial foi o componente probabilístico inerente à vulnerabilidade, que é exatamente o que a técnica de "calibração desarmada" se propõe a resolver.

Mas os resultados da verificação de terceiros parecem favorecer a Hexens. O CTO da Polygon, Mudit Gupta, após revisar independentemente a prova de conceito, afirmou: "Ela funciona conforme afirmado, a vulnerabilidade faz sentido... algumas condições precisam ser atendidas, e parece que eles realmente as alcançaram na mainnet."

Outra instituição que verificou independentemente a PoC da Hexens, a Grego AI, apontou que esta vulnerabilidade é suficiente para roubar as capacidades de vários protocolos, incluindo LayerZero, Wormhole e o protocolo cross-chain CCTP da USDC. O CEO da Grego AI, Justus Hanna, declarou: "Se um agente malicioso obtiver esta vulnerabilidade, eles podem levar qualquer valor total bloqueado (TVL) que desejarem."

De US$ 250 milhões a US$ 70 bilhões: ampliação em camadas da estimativa de risco

A Hexens estima que a exposição direta na chain Aptos, envolvendo protocolos de primeira camada de DeFi, ativos tokenizados, infraestrutura de stablecoins e staking líquido, seja da ordem de "dezenas de bilhões de dólares"; a Grego AI, por sua vez, com base na taxa de sucesso de ataque de quase 90%, calcula que cerca de US$ 250 milhões do valor total bloqueado nativo da Aptos estão diretamente ameaçados, sem incluir exposição cross-chain.

Se ampliarmos o escopo para o risco sistêmico mais amplo, a Hexens fornece o número de US$ 70 bilhões, abrangendo pontes cross-chain, sistemas de mensagens cross-chain, processos de gestão de emissão de stablecoins e o valor de ativos acessíveis por exchanges centralizadas. A premissa para esse número surpreendente é que o atacante emita grandes quantidades de USDC e depois transfira os ativos para outras chains através do protocolo de transferência cross-chain da Circle (CCTP).

Mas a Circle declarou recentemente que não congelará ativos sem autorização legal. Em outras palavras, se as partes envolvidas intervierem a tempo, a probabilidade de que os US$ 70 bilhões sejam totalmente realizados é baixa, mas esse número ainda é suficiente para demonstrar a escala alarmante do problema.

Vale notar que, na linguagem Move, as permissões críticas de protocolo, como cunhagem de stablecoins, controle de pontes cross-chain e gestão de mercados de empréstimo, são frequentemente armazenadas como "recursos on-chain". Uma vez que tais funções sejam comprometidas, o dano não se limita a um único protocolo, mas se espalha ao longo da cadeia de confiança para todos os sistemas que dependem dele.

Em seus testes práticos, a equipe da Hexens chegou a assumir o controle de uma função semelhante a "master minter" (cunhador mestre) e operou seguindo caminhos de gestão legítimos. Embora tenham parado antes da cunhagem real, isso já é suficiente para provar que tais funções devem ser incluídas em um modelo de ameaça completo. Os pesquisadores acreditam que o principal caminho para uma exposição mais ampla são, na verdade, as exchanges centralizadas, especialmente as rotas de ponte da Aptos que conectam atividades on-chain com o registro de depósitos das exchanges.

APT-1,05%
ZEC-0,69%
ATOM-2,02%
ETH-0,11%
ZRO0,73%
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
  • Recompensa
  • 1
  • Repostar
  • Compartilhar
Comentário
Adicionar um comentário
Adicionar um comentário
GateUser-12f69f5b
· 6h atrás
apt força👍!!!
Ver originalResponder0
  • Fixado