-
El fallo permitía tomar el control de roles que autorizan emitir stablecoins como USDC.
-
Los investigadores probaron que entre 17 y 18 de cada 20 intentos de ataque eran exitosos.
Una falla crítica en la red Aptos fue corregida en febrero pasado, luego de que la firma de seguridad Hexens demostrara que podía esa vulnerabilidad expondría hasta USD 70.000 millones en fondos dentro del ecosistema Aptos mediante un ataque de apenas USD 3.000, el costo que los investigadores mencionaron para alquilar un servidor con la potencia de una computadora de escritorio. La corrección se aplicó antes de que el fallo se explotara, por lo que ningún usuario perdió dinero.
Aunque el hallazgo y su corrección ocurrieron en febrero, los detalles técnicos completos y la prueba de concepto (PoC) de Hexens se conocieron recién esta semana, cuando Hexens y el equipo de Aptos los hicieron públicos.
Desde Hexens aseguraron que, de cada 20 intentos al simular el ataque, entre 17 y 18 terminaban con éxito en un entorno de prueba con más de 30 nodos (las computadoras que verifican y confirman las operaciones dentro de la red). El equipo de Aptos confirmó el pasado 4 de julio en un medio que el hallazgo fue reportado el 25 de febrero a través de un programa de recompensas por reportar fallas de seguridad, y la corrección se desarrolló, probó y desplegó en la red principal posteriormente.
¿Cómo funcionaba el error en la red Aptos?
El error se originaba en la máquina virtual Move (MoveVM), el programa que ejecuta el código de los contratos inteligentes dentro de Aptos para ejecutar las operaciones de la red, diseñado bajo el lenguaje de programación Move. Este programa, a su vez, organiza los datos de cada contrato en estructuras, la forma en la que MoveVM guarda, por ejemplo, el saldo de una cuenta o los permisos de administración de un protocolo.
El sistema guarda un número de identificación para cada una de esas estructuras en una memoria temporal, para no repetir el mismo proceso en cada operación. El problema surgía cuando el sistema vaciaba parte de esa memoria para liberar espacio, pero no toda: el número que identificaba a una estructura podía quedar asociado, por error, a los datos de otra completamente distinta. Eso es lo que se conoce como confusión de tipos, un error en el que el programa termina tratando la información de una cuenta como si perteneciera a otra.
Con ese error, según describió Hexens en su informe técnico publicado el 6 de julio, un atacante podía apropiarse de roles de administrador maestro, la función que autoriza emitir una stablecoin, o de capacidades de firma que controlan el manejo de fondos dentro de un contrato. Los investigadores afirmaron haber tomado el control de un rol de administrador maestro y haber llegado hasta el paso previo a autorizar una emisión, sin ejecutarlo.

El equipo de Hexens también señaló que el fallo alcanzaba las rutas que conectan Aptos con puentes entre redes, como los que operan Wormhole y LayerZero, y con el protocolo que usa la empresa Circle para mover su stablecoin USDC entre distintas redes, conocido por sus siglas en inglés como CCTP (Cross-Chain Transfer Protocol).
De acuerdo con la firma Hexens, un atacante podía forzar además un vaciado completo de esas memorias temporales (cachés) después de un intento, exitoso o fallido, para no dejar rastro de la manipulación. Esto explica en parte por qué la firma insiste en que los intentos fallidos no detenían la red ni exponían el ataque en curso.
Adicionalmente, los investigadores de Hexens compararon el problema con un escenario equivalente en una red basada en Ethereum, en la que un código bajo control de un atacante lograra escribir directamente sobre el espacio de almacenamiento de otro contrato, sorteando las garantías del sistema de tipos que Move fue diseñado específicamente para sostener.
La respuesta al hallazgo
Hexens reportó la falla siguiendo la práctica de divulgación responsable, es decir, dando aviso en privado a Aptos antes de publicar cualquier detalle de forma pública. Asimismo, se activó una sala de emergencia coordinada por SEAL911, una red voluntaria de respuesta que distintos proyectos del sector usan para coordinar reacciones ante incidentes de seguridad graves.
El equipo de Aptos, por su parte, calificó la explotabilidad práctica de la falla como «extremadamente baja».
Esa evaluación contrasta con la tasa de éxito de entre 17 y 18 de cada 20 intentos que Hexens dijo haber logrado en sus simulaciones, y también con las revisiones independientes de dos terceros: Mudit Gupta, director de tecnología (CTO) de Polygon, sostuvo que la prueba de concepto funcionaba tal como se describía, mientras que la firma Grego AI, por su parte, calculó en USD 250 millones el riesgo directo sobre los activos nativos de Aptos, una cifra bastante menor a los USD 70.000 millones que Hexens estimó para el impacto ampliado sobre el resto del ecosistema.
Finalmente, Charles Guillemet, director de tecnología de Ledger, indicó que este tipo de hallazgos, con trazas completas de la máquina virtual y dos pruebas de concepto funcionales, antes exigía meses de trabajo de un especialista y hoy, con herramientas de inteligencia artificial, es más rápido y más barato de producir. Según su lectura, si los equipos de seguridad pueden hoy recorrer cada línea de código y construir un ataque funcional a bajo costo, conviene asumir que grupos de atacantes, incluidos los vinculados a Corea del Norte como Lazarus, cuentan con capacidades similares.








