Un servidor de 3000 dólares casi provoca un desastre de criptomonedas de 70 mil millones de dólares

By: rootdata|2026/07/06 07:13:33

Un hacker ético descubrió una vulnerabilidad de riesgo de 70 mil millones de dólares en la blockchain de Aptos, mientras que el costo del ataque solo requería 3000 dólares.


Escrito por: Oliver Knight

Traducido por: Chopper, Foresight News


Un servidor valorado en 3000 dólares fue suficiente para que un investigador de seguridad en blockchain simulase una ruta de ataque, indicando que esta ruta podría poner en riesgo una infraestructura de criptomonedas valorada en hasta 70 mil millones de dólares.


El protagonista de este incidente de vulnerabilidad es la blockchain pública Aptos, basada en el lenguaje Move, que proviene del proyecto de stablecoin Diem, que Meta dejó de lado.


A finales de febrero, investigadores de la empresa de seguridad Hexens informaron al equipo de desarrollo de Aptos sobre una vulnerabilidad crítica en la máquina virtual Aptos Move, que es responsable de la ejecución de contratos inteligentes en la cadena. La vulnerabilidad se basa en un defecto de confusión de tipos causado por un fallo de caché: los atacantes pueden manipular la caché para engañar al sistema y hacer que reconozca un tipo de recurso en la cadena como otro tipo.


El equipo de Aptos ha completado el despliegue de parches en toda la red tras recibir el informe de la vulnerabilidad, y no se han producido incidentes de robo de activos de usuarios en el proceso.


Un portavoz de Aptos respondió a CoinDesk: "El 25 de febrero recibimos el informe sobre este riesgo potencial a través de nuestro programa de recompensas por vulnerabilidades, y ya habíamos comenzado internamente la revisión de la vulnerabilidad. El equipo completó la reparación, las pruebas y el despliegue en la red principal en unas pocas horas tras la confirmación de la vulnerabilidad, sin que ningún usuario o fondos resultaran dañados." Sin embargo, la empresa también cuestionó el grado de explotación real de la vulnerabilidad, afirmando que, tras un análisis interno, es casi imposible llevar a cabo un ataque en un entorno en línea real. No obstante, los detalles de la vulnerabilidad revelados por el equipo de seguridad indican que toda la industria de criptomonedas estuvo a punto de enfrentar un desastre de seguridad significativo que podría haber cambiado el panorama del sector.


La razón por la que esta vulnerabilidad es tan riesgosa radica en el mecanismo de almacenamiento de permisos del lenguaje Move: los permisos de acuñación, la gestión de puentes entre cadenas, los permisos de administrador del mercado de préstamos y otros permisos de protocolos centrales se almacenan directamente en forma de recursos en la cadena. Una vez que estos recursos de permisos son comprometidos, el riesgo no se limita a un solo protocolo; todas las aplicaciones que dependen de esos permisos también caerían.


Los investigadores de Hexens ofrecieron una analogía sencilla: el daño de esta vulnerabilidad es equivalente a que una blockchain del ecosistema de Ethereum presente un defecto crítico, donde los contratos de los atacantes pueden eludir el mecanismo de seguridad de tipos y escribir o manipular directamente los datos de almacenamiento de otros contratos inteligentes, lo cual es precisamente la barrera de protección central en el diseño del lenguaje Move.


Mudit Gupta, CTO de Polygon, verificó de forma independiente el paquete de demostración de la vulnerabilidad y confirmó que el proceso de ataque es realista: "Toda la lógica del ataque es completamente válida, la demostración se reprodujo con éxito, y se cumplen todas las condiciones previas necesarias para el ataque en un entorno de red principal." La agencia de seguridad Grego AI también reprodujo de forma independiente esta vulnerabilidad, y sus datos estiman que solo en los activos nativos bloqueados de la red principal de Aptos hay aproximadamente 250 millones de dólares directamente expuestos al riesgo, sin incluir los riesgos más amplios de las cadenas cruzadas.


Riesgo de 70 mil millones de dólares


La vulnerabilidad fue descubierta por Vahe Karapetyan, cofundador y CTO de Hexens. Si no se repara a tiempo, la vulnerabilidad podría abrir riesgos en toda la cadena a través de puentes entre cadenas, stablecoins, diversos protocolos DeFi y exchanges centralizados, provocando pérdidas de activos en la escala de cientos de miles de millones y generando una crisis en toda la industria.


Todo el entorno de ataque se puede construir con solo un servidor de 3000 dólares; los hackers maliciosos pueden llevar a cabo el ataque sin necesidad de simular un clúster completo, con un costo de solo unos cientos de dólares, y sin necesidad de controlar nodos de validación, poseer información interna o obtener permisos avanzados del protocolo.


El equipo de investigación llevó a cabo alrededor de 20 simulaciones de ataque en un entorno de red principal simulado, logrando un éxito en 17 a 18 ocasiones. Las 2 a 3 ocasiones restantes de fracaso no causarían una interrupción en la red, permitiendo a los atacantes intentar repetidamente hasta lograr el éxito. El clúster simulado replica el entorno completo de la red principal real: se construyeron más de 30 nodos de validación, se restauró la distribución real de las participaciones y se replicaron los flujos de transacciones diarias y los escenarios de congestión de bloques. El equipo también utilizó técnicas de calibración previa al ataque, midiendo el estado de la memoria y el empaquetado de bloques antes de iniciar el ataque, reduciendo significativamente la incertidumbre causada por la aleatoriedad del ataque y aumentando considerablemente la tasa de éxito en situaciones reales.


Hexens, basado en datos públicos de la cadena, estima que solo los activos nativos DeFi de Aptos, los activos tokenizados, las stablecoins y los protocolos de participación líquida tienen una exposición directa al riesgo que alcanza decenas de miles de millones de dólares.


Y el riesgo de vulnerabilidades en la capa base de la blockchain nunca se limita a una sola blockchain. Considerando los puentes entre cadenas, los protocolos de comunicación entre cadenas, las rutas de emisión de stablecoins y los exchanges centralizados, se estima que el riesgo sistémico total podría alcanzar hasta 70 mil millones de dólares. Justus Hanna, CEO de Grego AI, afirmó que los atacantes podrían aprovechar esta vulnerabilidad para tomar el control de permisos de gestión central en infraestructuras cruzadas como LayerZero, Wormhole y el protocolo de transferencia entre cadenas CCTP, lo que teóricamente podría vaciar todos los fondos bloqueados asociados.


Esta prueba de simulación es suficiente para demostrar que las vulnerabilidades ocultas en la capa base de la blockchain pueden traer riesgos devastadores para la industria.


Si los hackers aprovecharan esta vulnerabilidad para llevar a cabo un ataque real, la magnitud de las pérdidas superaría con creces el robo de 1500 millones de dólares en el exchange Bybit el año pasado. En junio, Zcash cayó un 38% debido a una vulnerabilidad crítica que había estado oculta durante cuatro años en su pool de privacidad, permitiendo a los atacantes acuñar indefinidamente tokens falsos sin ser detectados; antes de esto, varios incidentes de robo de miles de millones en puentes entre cadenas y contratos inteligentes ya habían socavado la confianza del mercado en la infraestructura.


La estimación de riesgo de 70 mil millones de dólares se basa en un escenario extremo donde los atacantes acuñan USDC en masa y utilizan el CCTP de Circle para transferir a múltiples blockchains. Teóricamente, si el evento estalla, Circle probablemente detendría las transferencias de USDC, pero Circle ha declarado anteriormente que no congelará los activos de los usuarios sin una orden judicial, lo que introduce incertidumbre en su ejecución. Incluso si las plataformas relacionadas implementan medidas de control de riesgos de emergencia, el impacto de esta vulnerabilidad también afectaría gravemente a todo el mercado de criptomonedas.


El equipo de investigación ha confirmado a través de la demostración que la vulnerabilidad puede tomar permisos de gestión de nivel superior en el sistema de cadenas cruzadas, incluyendo permisos de control de acuñación, permisos de firma y control de cuentas del protocolo. Han replicado completamente el proceso de toma de control de permisos, sin acuñar tokens, pero demostrando claramente que este riesgo debe ser incluido en el modelo de amenazas de seguridad. La principal vía de transmisión de la vulnerabilidad es el canal de cadena cruzada que conecta Aptos con los exchanges centralizados, permitiendo a los atacantes manipular los datos de contabilidad de recarga de los usuarios de los exchanges.


Respuestas y divulgaciones


El mismo día en que Hexens presentó su informe, se formó un grupo de respuesta de emergencia llamado "SEAL911", encargado de coordinar las medidas de respuesta. Horas después de la formación del grupo, el proyecto recibió un informe completo sobre la vulnerabilidad. Esa tarde, cuatro proyectos clave de la cadena descendente recibieron simultáneamente documentos de demostración de la vulnerabilidad y análisis de riesgos de permisos.


El 27 de febrero, se publicaron los registros de envío de correcciones en el repositorio oficial de código, y Aptos indicó que los parches privados para nodos de validación ya se habían implementado antes de que el código público se lanzara. Al mismo tiempo, Hexens afirmó que hasta ahora no ha recibido una refutación técnica de Aptos respaldada por datos, y que solo se ha planteado un umbral de probabilidad para el ataque.


Aunque no se han robado fondos, los resultados de la simulación indican que, en ataques a nivel de blockchain, las restricciones de tráfico, el congelamiento de instituciones emisoras, el control entre cadenas, la supervisión de exchanges y los parches de validadores no son medidas de seguridad secundarias. Estas determinan directamente si la vulnerabilidad es un pequeño incidente local o un colapso sistémico en toda la industria.

Precio de --

--

Aviso legal: Este contenido se brinda únicamente con fines informativos y de marca, y no constituye asesoramiento financiero, de inversión, legal ni fiscal. Ningún evento, recompensa, evento en línea o información relacionada que se mencione aquí debe considerarse una recomendación, solicitud o invitación para comprar, vender, intercambiar u operar de cualquier otra forma con criptoactivos ni para utilizar ningún servicio. Los criptoactivos son altamente volátiles y pueden generar pérdidas. Los servicios y eventos en línea de WEEX pueden no estar disponibles en todas las regiones y están sujetos a las leyes, regulaciones y requisitos de elegibilidad aplicables. Usted es responsable de asegurarse de que su uso de los servicios de WEEX cumpla con las leyes locales y de evaluar cuidadosamente los riesgos antes de participar en cualquier actividad relacionada con criptomonedas.

Te puede gustar

iconiconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y CM:bd@weex.com
Programa VIP:support@weex.com