Saltar al contenido
OndaCorta

Aptos parchó una falla que arriesgaba US$70.000 millones

Investigadores de la firma Hexens hallaron una vulnerabilidad crítica en la máquina virtual de Aptos que, con un servidor de apenas US$3.000, lograba más del 90% de éxito para comprometer stablecoins y puentes entre cadenas.

Redacción Onda Corta · · 2 min de lectura

Aptos, la blockchain de capa 1 construida sobre el lenguaje Move, corrigió en febrero una vulnerabilidad crítica en su máquina virtual que, según la firma de seguridad Hexens, habría permitido comprometer activos por hasta US$70.000 millones, incluyendo stablecoins y puentes entre cadenas. El hallazgo se reportó el 25 de febrero a través de los canales de emergencia del programa de recompensas de Aptos y derivó en un parche desplegado en cuestión de horas, sin que se perdieran fondos.

Los investigadores de Hexens identificaron lo que describieron como un "stale-cache bug": un error de caché desactualizada que derivaba en una falla de confusión de tipos (type confusion), una condición que permite engañar al software para que trate un recurso de la cadena como si fuera de otro tipo. El problema afectaba a la máquina virtual de Move, el entorno que ejecuta los contratos inteligentes en Aptos.

Move es el lenguaje de contratos inteligentes que Aptos comparte con Sui, y que se originó en Diem, el proyecto de moneda digital impulsado por Facebook (hoy Meta) y finalmente abandonado. En Move, los permisos de los protocolos (como la potestad de emitir una stablecoin, administrar un puente entre blockchains o gestionar un mercado de préstamos) se almacenan directamente como recursos on-chain. Según explicaron los investigadores, si esos recursos quedan comprometidos, el daño no se limita a un solo protocolo, sino que se extiende a todo lo que confía en ellos.

Un ataque simulado con hardware de bajo costo

Para probar la viabilidad del ataque, el equipo de Hexens montó un servidor de apenas US$3.000, con el que logró simular alrededor de un tercio de la red de validadores de Aptos. Bajo condiciones reales de red, la simulación alcanzó una tasa de éxito superior al 90%, sin requerir acceso privilegiado ni permisos especiales dentro del sistema. El bajo costo de la infraestructura necesaria fue uno de los puntos que más llamó la atención: acceder a una falla con potencial de afectar a todo un ecosistema no exigía más que un equipo de gama media.

Desde Aptos Labs confirmaron que fueron notificados del problema el 25 de febrero a través de su programa de recompensas por errores, cuando el caso ya estaba siendo evaluado internamente. Un vocero de la compañía indicó a CoinDesk que la corrección fue desarrollada, probada y desplegada en la red principal en cuestión de horas, y que ningún usuario ni fondo resultó afectado en ningún momento. La empresa también cuestionó la explotabilidad práctica del error, señalando que su propio análisis determinó que la falla habría tenido una probabilidad de explotación muy baja en condiciones reales.

Aun con esa discrepancia sobre el riesgo real, el episodio expone una tensión de fondo en blockchains que, como Aptos, concentran permisos críticos (emisión de stablecoins, custodia de puentes, administración de protocolos de préstamos) en recursos gestionados por una misma máquina virtual. Una sola falla de bajo nivel en ese componente puede convertirse, en teoría, en una puerta de entrada a buena parte del valor que circula sobre la red.

Fuentes

  1. How ethical hackers with just a $3,000 server found a flaw that could've put $70 billion in crypto at risk (www.coindesk.com)

Este artículo fue elaborado por el sistema editorial automatizado de Onda Corta a partir de las fuentes citadas, con supervisión humana del proceso. ¿Encontraste un error? Reportalo.

Seguí leyendo

Estadounidenses operaron US$571 millones en Polymarket pese a veto

Un reporte de Allium detalla cómo operadores norteamericanos canalizaron capitales hacia apuestas geopolíticas no autorizadas usando VPN y billeteras de criptomonedas. La actividad reabre el debate sobre la efectividad de los bloqueos de IP y la supervisión de los mercados predictivos.

El boletín de Onda Corta

Lo más importante de la semana en tecnología, sin ruido. Pronto en tu correo.