
Am 4. Juli 2026 veröffentlichte Hexens, ein Sicherheitsunternehmen, Details zu einer Type-Confusion-Sicherheitslücke in der Aptos Move Virtual Machine. Diese Lücke hätte Angreifern potenziell Zugang zu Vermögenswerten im Wert von etwa 70 Milliarden US-Dollar verschaffen können. Die Forscher simulierten den Angriff in einer Testumgebung auf einem $3.000-Server mit einer Erfolgsquote von rund 90 % und meldeten ihn Ende Februar an Aptos. Der Fehler wurde vor dem Start des Mainnets behoben und es gingen keine Gelder verloren.
Diese Summe wirft bei allen Inhaber:innen von Move-basierten Assets berechtigte Fragen auf. Sowohl Aptos als auch Sui verwenden die gleiche Programmiersprache, die ursprünglich aus Metas Diem-Projekt stammt. Auch Movement und Sei sind eng verwandt. Wenn eine Schwachstelle 70 Milliarden US-Dollar auf Aptos gefährden könnte, stellt sich die Frage, wie sicher die gesamte Move-Kategorie ist.
Im Folgenden wird erläutert, was genau der Fehler war, wie weitreichend er tatsächlich war, wie sich die beiden führenden Move-Chains in ihrem Risikoprofil unterscheiden und was ein gepatchter Fehler – bevor er ausgenutzt wurde – für Inhaber:innen von APT oder SUI bedeutet.
Was war der $70-Milliarden-Fehler genau?
Hexens beschrieb das Problem als einen Stale-Cache-Bug, der zu einer Type-Confusion-Lücke führte. Hierbei kann die Virtual Machine dazu gebracht werden, Ressourcen fälschlicherweise als andere Typen zu behandeln – ein kritischer Fehler, wenn Ressourcen Besitz oder Berechtigungen repräsentieren. Angreifer könnten so unberechtigte Befugnisse vortäuschen.
Die Summe von 70 Milliarden US-Dollar ist eine Schätzung des systemischen Risikos und kein Geld, das in einem Vertrag lagert. Sie umfasst alles, was Angreifer theoretisch durch gefälschte Befugnisse hätten erreichen können, darunter Werte aus Brücken, Cross-Chain-Messaging-Systemen, Stablecoin-Verwaltungsflüssen und Vermögenswerte, die auf zentralen Plattformen hinterlegt sind. Auch Protokoll-Kapazitäten von LayerZero, Wormhole und USDCs Cross-Chain-Transfer-System wären betroffen gewesen.
Zwei Faktoren verhinderten eine Katastrophe: Die Schwachstelle wurde privat gemeldet und Monate vor Bekanntwerden behoben. Der Exploit wurde nur in einer Testumgebung demonstriert, nicht im Live-Mainnet. Bemerkenswert ist dabei der geringe Aufwand: Es bedurfte keines Staatsbudgets, sondern lediglich eines Mittelklasse-Servers und tiefgehender Kenntnisse des Move-VM-Systems.
Was ist Move und welche Blockchains nutzen es?
Move ist eine ressourcenorientierte Programmiersprache, ursprünglich entwickelt vom Diem-Team bei Meta für ihr eingestelltetes Stablecoin-Projekt. Der Kern: Digitale Vermögenswerte werden als Ressourcen modelliert, die nicht dupliziert oder gelöscht, sondern nur übertragen werden können. Damit wird eine ganze Klasse von Fehlern ausgeschlossen, die bei älteren Smart-Contract-Plattformen zu milliardenschweren Verlusten geführt haben.
Move ist eher ein gemeinsamer Bauplan als eine einzelne Blockchain. Aptos verwendet ein kontenbasiertes Datenmodell mit der parallelen Ausführungs-Engine Block-STM. Sui hingegen setzt auf ein objektzentriertes Modell und betreibt seine eigene Dialekt-Variante Sui Move auf einer separaten VM. Movement (MOVE) baut ein Move-basiertes Netzwerk mit Ethereum-Kompatibilität; Sei nutzt ein eigenes paralleles Design.
Wichtig ist: Der Move-Code legt Regeln zu Typen, Besitz und Zugang fest. Die Virtual Machine ist die Software, die diese Regeln zur Laufzeit durchsetzt – inklusive Bytecode-Validator und Cache, in dem dieser Fehler auftrat. Ein Fehler in der Implementierung eines Teams ist nicht automatisch ein Fehler im gemeinsam genutzten Design.
Betrifft der Fehler auch Sui oder nur die Aptos-VM?
Dies ist die Schlüsselfrage – und die ehrliche Antwort lautet: Der Fehler war auf Aptos beschränkt. Die Stale-Cache-Bedingung gab es ausschließlich in der Aptos Move VM, speziell im Cache-Pfad, den die Entwickler:innen von Aptos selbst zur Beschleunigung geschrieben haben. Sui verwendet diesen Code nicht.
Sui arbeitet mit Sui Move auf einer eigenen von Mysten Labs entwickelten VM mit objektzentriertem Ownership-Modell, das sich grundsätzlich von Aptos unterscheidet. Die beiden Netzwerke teilten zwar den sprachlichen Ansatz, gingen bei der technischen Umsetzung aber so weit auseinander, dass ein Laufzeitfehler in einer VM nicht auf die andere übertragbar ist. Sui sowie Movement und Sei waren von der Lücke nicht betroffen.
Die Feinheit: Es war ein Implementierungsfehler, kein Beleg für eine Schwäche des Move-Typsystems. Die Sprachregeln hielten stand. Die Schwachstelle lag im Caching der VM – ein Fehler, der in jeder Hochleistungs-Laufzeitumgebung auftreten kann. Das Risiko ist also nicht systemisch für alle Move-Chains, sondern abhängig von der Software-Qualität jeder einzelnen Chain.
Aptos vs. Sui: Zwei Move-Chains, zwei Risikoprofile
Beide Chains wurden von Diem-Alumni gegründet, sind aber unterschiedlich gewachsen. Aptos ist bei Stablecoins und Unternehmenspartnerschaften führend, während Sui die tiefere On-Chain-Ökonomie bietet. Die folgende Tabelle zeigt einen Vergleich Mitte 2026.
| Merkmal | Aptos (APT) | Sui (SUI) |
| Launch & Team | Mainnet 2022, Aptos Labs (ex-Meta Diem) | Mainnet 2023, Mysten Labs (ex-Meta Diem) |
| Datenmodell | Kontenbasiert | Objektzentriert |
| Move-Dialekt | Kern-Move | Sui Move (eigene VM) |
| Konsens | Aptos BFT mit Block-STM | Mysticeti, Sub-Sekunden-Finalität |
| Stablecoin-Marktkapitalisierung | Führend unter Move-Chains, ca. $1,6 Mrd. | Ca. $700 Mio. |
| DeFi TVL | Rund $1 Mrd. im Peak | Höher, bis zu $2,6 Mrd. |
| Betroffen vom Juli-Fehler | Gepatcht, keine Verluste | Nicht betroffen |
Keine der beiden Chains ist per se sicherer. Aptos hat gerade einen Sicherheitsvorfall erlebt, diesen aber schnell und ohne Verluste behoben – das spricht für die Prozesse. Sui war nicht betroffen, da seine VM ein anderes Softwareprodukt ist. Das eigene Risiko liegt in der relativ kürzeren Betriebshistorie und im größeren DeFi-Volumen, was im Fall eines Fehlers größere Auswirkungen hätte.
Was bedeutet der Fehler für APT- oder SUI-Inhaber:innen?
Der praktische Schluss: Die Situation ist weniger dramatisch als die Schlagzeile suggeriert. Ein kritischer Fehler wurde von Sicherheitsexperten entdeckt, verantwortungsbewusst gemeldet und vor öffentlichen Verlusten beseitigt. Das ist ein positives Beispiel für gut funktionierende Sicherheitsprozesse. Besorgniserregend sind eher Systeme, bei denen Fehler erst durch Angreifer und finanzielle Verluste publik werden.
Fest steht: Es handelt sich um junge, leistungsstarke Chains, deren Angriffsfläche noch kartiert wird. Ein $3.000-Server genügte für einen $70-Milliarden-Befund – vergleichbare Risiken könnten auch bei anderen auftreten. Daraus folgt nicht, Move-Assets zu vermeiden, sondern Positionen entsprechend dem höheren Infrastrukturrisiko zu bemessen und Wert auf laufende Bug-Bounty-Programme und öffentliche Audits zu legen. Mehr zum Thema Exploits finden Sie in unserem Beitrag zu DeFi-Hacks und Bridge-Angriffen.
Für Trader:innen, nicht für langfristige Halter:innen, ist das kurzfristige Signal gering: Es wurden keine Gelder entwendet; es gab keine Liquidationskaskade oder Protokollinsolvenz. Die Meldung ist reputationsbezogen und kein Bilanzproblem. Der APT-Kurs hielt sich nach den Nachrichten stabil – ein echter Angriff hätte zu stärkeren Kursbewegungen geführt.
Häufig gestellte Fragen
Ist Sui vom Aptos-Fehler betroffen?
Nein. Die Type-Confusion-Lücke bestand ausschließlich in der Aptos Move VM, nicht in Sui. Sui nutzt eine eigene, von Mysten Labs entwickelte VM mit objektzentriertem Ansatz.
Bedeutet die Summe von $70 Milliarden, dass $70 Milliarden hätten gestohlen werden können?
Nicht direkt. Es handelt sich um eine systemische Risikoabschätzung – das Potenzial, das Angreifer bei gefälschten Berechtigungen hätten erreichen können. Tatsächlich gab es keinen finanziellen Schaden, da der Fehler frühzeitig gepatcht wurde.
Ist die Move-Sprache unsicher?
Der Fehler lag in der Implementierung des Caches einer VM, nicht im Typsystem von Move. Das Ressourcenkonzept blieb intakt. Move gilt weiterhin als robust gegen Asset-Duplikation, aber keine Sprache schützt vor Fehlern in der Implementierungssoftware.
Sollte ich wegen dieses Fehlers meine APT- oder SUI-Position verkaufen?
Es gibt keinen aus der Schwachstelle resultierenden Grund dazu. Keine Gelder gingen verloren und die Lücke ist geschlossen. Wichtig ist, bei Positionen auf Move-Chains das höhere Infrastruktur- und Entwicklungsrisiko gegenüber etablierten Chains wie Bitcoin zu beachten und Projekte mit aktiven Bug-Bounty-Programmen und öffentlichen Audits zu bevorzugen.
Fazit
Die $70-Milliarden-Summe ist real, beschreibt aber ein abgewendetes Risiko. Hexens fand einen schwerwiegenden Bug in der Aptos VM, der im Februar 2026 privat gemeldet und gepatcht wurde; es gab keine Gefährdung der Live-Gelder. Sui, Movement und Sei waren nie betroffen, da jede Chain ihre eigene VM einsetzt. Dennoch zeigt das Beispiel, dass auch junge Hochleistungs-Chains mit überschaubaren Ressourcen große Risiken bergen können. Positionen sollten entsprechend dimensioniert und laufende Bug-Bounties als Qualitätsmerkmal verstanden werden.
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Finanz- oder Anlageberatung dar. Der Handel mit Kryptowährungen ist mit erheblichen Risiken verbunden. Führen Sie immer Ihre eigenen Recherchen durch, bevor Sie Handelsentscheidungen treffen.
