Aptos corrige una vulnerabilidad crítica con un riesgo teórico de 70.000 millones de dólares
Resumen del mercado generado por IA
Aptos corrigió una vulnerabilidad crítica de "caché obsoleta" ("stale-cache") en la Move VM que, según los investigadores, podría permitir el secuestro de estructuras on-chain y recursos de autoridad, lo que implicaría una gran exposición sistémica teórica en DeFi y en los puentes. No se perdieron fondos y la corrección llegó a la mainnet en cuestión de horas, lo cual es estabilizador, pero la divulgación pone de relieve un riesgo latente de ejecución de contratos inteligentes y puede endurecer los controles de riesgo para los protocolos vinculados a Aptos, especialmente los puentes entre cadenas.
Nivel de impacto
● Media
Activos afectados
APT/USDT-2.52%
Ideas de IA · APT/USDTIdeas de IA
● Neutral
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
Una blockchain que mueve miles de millones en transacciones diarias estuvo a unos cientos de dólares de un incidente potencialmente devastador. Aptos Labs corrigió un fallo crítico en su máquina virtual Move después de que investigadores de seguridad mostraran que, en simulaciones, un ataque podía tener éxito en casi el 90% de los intentos con una infraestructura de servidor relativamente modesta.
La vulnerabilidad —conocida como el error "stalecache"— fue reportada por la firma de seguridad blockchain Hexens el 25 de febrero de 2026. Aptos desplegó la corrección en la mainnet en cuestión de horas. El 27 de febrero publicó un pull request que documenta el parche y su encaje dentro del programa de recompensas por fallos (bug bounty) de la compañía.
Qué permitía el fallo
El problema residía en la máquina virtual Move, el entorno de ejecución por el que pasan todos los smart contracts de la red. De acuerdo con Hexens, el bug podía permitir a un atacante secuestrar structs on-chain y recursos de autoridad, abriendo la puerta a manipular las estructuras de datos que determinan la propiedad y permisos en la blockchain.
Los investigadores presentaron pruebas de concepto con un montaje de servidor de alrededor de 3.000 dólares, y con intentos individuales que costaban unos pocos cientos de dólares. En las simulaciones, la tasa de éxito rozó el 90%.
Hexens estimó el riesgo sistémico en 70.000 millones de dólares, al considerar stablecoins, puentes cross-chain y protocolos DeFi construidos sobre Aptos o conectados a ella. Los puentes son objetivos especialmente sensibles porque custodian activos agrupados de múltiples cadenas: un único exploit exitoso puede vaciar fondos que se originaron en otros ecosistemas.
El CTO de Polygon, Mudit Gupta, revisó de forma independiente la prueba de concepto y validó los hallazgos.
Respuesta de Aptos y discrepancias
No se registraron pérdidas de fondos de usuarios. Aptos Labs pasó del descubrimiento al parche en mainnet en cuestión de horas. La compañía cuestionó las afirmaciones sobre la explotabilidad del bug bajo condiciones reales de mainnet, sosteniendo que las restricciones del entorno real harían más difícil un ataque exitoso que lo observado en la simulación. Esa posición contrasta con la validación independiente realizada por Gupta.
El pull request público del 27 de febrero detalla el ajuste técnico e incorpora formalmente el caso al bug bounty de Aptos, que ofrece recompensas de hasta 1 millón de dólares por la divulgación de vulnerabilidades críticas.
Qué deberían vigilar inversores y desarrolladores
La cifra de 70.000 millones de dólares representa la exposición teórica máxima si un atacante lograra encadenar simultáneamente todas las vías vulnerables. El coste —un servidor de 3.000 dólares y unos cientos de dólares por intento— plantea una barrera de entrada baja para un adversario que apunte a una red de alto valor.
Los protocolos que dependen de Aptos para liquidación, en especial los puentes cross-chain, deberían tomar esta divulgación como señal para auditar sus propias dependencias. El techo de 1 millón de dólares del programa de recompensas es competitivo, aunque la exposición teórica de este caso se situaba en decenas de miles de millones: un investigador que hubiera podido monetizar el fallo en un mercado gris por una suma muy superior optó por la divulgación responsable.