
El 4 de julio de 2026, la firma de seguridad Hexens reveló que un error de confusión de tipo en la máquina virtual Aptos Move puso en riesgo teórico aproximadamente 70 mil millones de dólares. Los investigadores reprodujeron el exploit en un entorno simulado de Aptos con un servidor de $3,000, logrando una tasa de éxito estimada del 90%. Reportaron la vulnerabilidad al equipo de Aptos a finales de febrero, que la corrigió antes de que la red principal fuera afectada. No se perdieron fondos.
La magnitud del número plantea dudas razonables para quienes poseen activos basados en Move. Aptos y Sui utilizan el mismo lenguaje originado del proyecto Diem de Meta, ahora abandonado, y Movement y Sei pertenecen a la misma familia. Si una sola falla pudo exponer $70 mil millones en Aptos, ¿es todo el ecosistema Move intrínsecamente vulnerable?
A continuación, se detalla en qué consistía la vulnerabilidad, su alcance real, cómo difieren los perfiles de riesgo de las principales cadenas Move, y qué debería significar para quienes poseen APT o SUI una vulnerabilidad corregida antes de ser explotada.
¿En qué consistía realmente la vulnerabilidad de $70 mil millones?
Hexens describió el problema como un bug de caché obsoleta que causaba una vulnerabilidad de confusión de tipo, es decir, la máquina virtual podía ser engañada para tratar un tipo de recurso on-chain como otro diferente. En un lenguaje orientado a recursos que representan propiedad y permisos reales, esa confusión puede permitir que un atacante obtenga autorizaciones no concedidas.
La cifra de $70 mil millones es una estimación de riesgo sistémico general, no un fondo agrupado en un solo contrato. Incluye todo lo que un atacante podría haber alcanzado mediante permisos falsificados: valor en puentes, sistemas de mensajería entre cadenas, flujos de administración de stablecoins y activos custodiados por plataformas centralizadas conectadas a la cadena. Se destacó que capacidades a nivel protocolo de infraestructuras como LayerZero, Wormhole y el sistema de transferencia cross-chain de USDC estaban dentro de ese alcance.
Dos factores impidieron un desastre: la vulnerabilidad fue revelada de manera privada y solucionada meses antes de hacerse pública, y el exploit solo se demostró en laboratorio. Lo relevante del caso es el bajo coste de entrada: no requirió un presupuesto estatal, sino un servidor de gama media y conocimiento profundo del VM Move.
¿Qué es Move y qué blockchains lo utilizan?
Move es un lenguaje de programación orientado a recursos, diseñado originalmente por el equipo técnico tras Diem, el proyecto de stablecoin de Meta. Su idea central es que los activos digitales son modelados como recursos imposibles de copiar o eliminar silenciosamente, solo pueden transferirse entre propietarios. Este diseño elimina una categoría de errores comunes en otras plataformas, lo que ha motivado su adopción.
Move no es una única blockchain, sino un plano que diferentes equipos pueden implementar. Aptos utiliza un modelo basado en cuentas y un motor de ejecución paralelo llamado Block-STM. Sui reescribió el modelo en torno a objetos individuales, ejecutando Sui Move sobre su propia máquina virtual. Movement (MOVE) desarrolla una red compatible con Ethereum basada en Move, y Sei está cerca del ecosistema con su propio diseño paralelo.
Es importante distinguir el lenguaje Move de cada implementación concreta. El lenguaje define reglas sobre tipos, propiedad y acceso; la máquina virtual es el software que las aplica en tiempo real, incluyendo el verificador de bytecode y la capa de caché, donde residía este problema. Un fallo en el código de un equipo no implica necesariamente un fallo en el diseño general.
¿El bug afectó también a Sui o solo a la VM de Aptos?
Esta pregunta distingue un problema de Aptos de uno del lenguaje Move y la respuesta es que estuvo contenido en Aptos. La condición de caché obsoleta existía en la VM de Aptos Move, específicamente en el código de caché implementado por los ingenieros de Aptos. Sui no comparte esa base de código.
Sui ejecuta Sui Move en una máquina virtual separada, construida por Mysten Labs, con un modelo de propiedad centrado en objetos diferente al enfoque basado en cuentas de Aptos. Aunque ambos comparten filosofía de lenguaje, su ejecución difiere tanto que un bug en la caché en uno no afecta al otro. Sui, Movement y Sei no estaban expuestos por esta vulnerabilidad.
Es relevante aclarar que el fallo fue un error de implementación, no una demostración de que el sistema de tipos de Move sea inseguro. Las reglas del lenguaje se mantuvieron; el error estaba en la gestión de caché y recarga de datos de una VM, un error que puede ocurrir en cualquier entorno de alto rendimiento sin importar el lenguaje. Por tanto, el riesgo depende de la ingeniería de cada cadena y la disciplina de auditoría y divulgación de cada equipo.
Aptos vs Sui: dos cadenas Move y dos perfiles de riesgo
Ambas cadenas surgieron del mismo grupo tras Diem, pero han evolucionado en redes diferentes. Aptos destaca en stablecoins y presencia empresarial, mientras Sui posee una economía on-chain más profunda. La siguiente tabla resume su estado a mediados de 2026.
| Dimensión | Aptos (APT) | Sui (SUI) |
| Lanzamiento y equipo | Mainnet 2022, Aptos Labs (ex-Meta Diem) | Mainnet 2023, Mysten Labs (ex-Meta Diem) |
| Modelo de datos | Basado en cuentas | Centrado en objetos |
| Dialecto de Move | Core Move | Sui Move (VM separada) |
| Consenso | Aptos BFT con Block-STM | Mysticeti, finalización sub-segundo |
| Capitalización de mercado de stablecoins | Lidera las cadenas Move, aprox. $1.6 mil millones | Aprox. $700 millones |
| TVL DeFi | Aprox. $1 mil millones en el pico | Superior, cerca de $2.6 mil millones en el pico |
| Exposición a la vulnerabilidad de julio | Corregida, sin pérdida de fondos | No afectada |
Ningún perfil es estrictamente más seguro. Aptos gestionó un incidente real con un parche privado y sin pérdida de fondos, lo que puede considerarse algo positivo. Sui evitó el bug por su diseño diferente, pero su propio riesgo depende de su código menos probado y del mayor TVL DeFi.
¿Qué significa la vulnerabilidad para quienes poseen APT o SUI?
La conclusión práctica es más tranquila de lo que sugiere el titular. Un bug crítico fue hallado por investigadores de seguridad, reportado de forma responsable y solucionado antes de que se produjeran pérdidas. Así es como debe funcionar la seguridad. La preocupación debe surgir donde los fallos los descubren los atacantes y las pérdidas ocurren antes de la divulgación.
El episodio confirma que estas cadenas de alto rendimiento aún exploran su superficie de ataque. Un servidor de $3,000 permitió descubrir una vulnerabilidad de $70 mil millones, por lo que el próximo bug importante es cuestión de tiempo, tanto en Aptos como en cualquier cadena de esta categoría, incluida Sui. La respuesta no es evitar los activos Move, sino dimensionar las posiciones con una comprensión honesta del mayor riesgo de infraestructura respecto a cadenas como Bitcoin, además de priorizar proyectos con programas de recompensas por bugs y auditorías públicas. Puedes ampliar sobre cómo se producen estos exploits en nuestro análisis sobre hacks DeFi y explotaciones de puentes.
Para quienes operan a corto plazo, la noticia tiene un impacto limitado porque no hubo robo. No existe un efecto dominó ni insolvencia protocolar que descontar. La divulgación afecta a la reputación, no al balance, y APT resistió bien la noticia del 4 de julio, sin colapsar como ocurriría tras un exploit real.
Preguntas frecuentes
¿Sui se vio afectada por la vulnerabilidad de Aptos?
No. El bug de confusión de tipo se encontraba en la máquina virtual de Aptos Move, un código que Sui no utiliza. Sui emplea su propia implementación sobre una VM centrada en objetos, por lo que esta vulnerabilidad no la afecta.
¿La cifra de $70 mil millones significa que estaba en riesgo de ser robada esa cantidad?
No directamente. Es una estimación de riesgo sistémico, que considera todo lo que un atacante podría alcanzar mediante permisos falsificados, incluyendo puentes, mensajería entre cadenas y flujos de stablecoins. Finalmente el resultado fue cero, ya que Aptos solucionó el bug meses antes de hacerlo público.
¿El lenguaje Move en sí mismo es inseguro?
El error fue de implementación en la caché de una VM, no del sistema de tipos de Move. El modelo de recursos se mantuvo. El lenguaje sigue siendo una opción robusta para evitar errores de duplicación de activos, pero ningún lenguaje previene errores en el software que lo ejecuta.
¿Debería vender mis APT o SUI por este motivo?
No existe actualmente una razón relacionada con exploits. No se perdieron fondos y la vulnerabilidad está resuelta. Lo más prudente es ajustar el tamaño de la posición considerando que son redes nuevas con riesgos infraestructurales superiores a las cadenas consolidadas, y priorizar proyectos con auditorías y recompensas por bugs.
Conclusión
La cifra de $70 mil millones es real, pero describe una amenaza evitada, no una concretada. Hexens halló una falla crítica en la VM de Aptos, que fue corregida en privado a finales de febrero y nunca puso en peligro los fondos de la red principal. Sui, Movement y Sei no estuvieron expuestos porque el error era específico de la VM de Aptos. Es recomendable estar atentos a auditorías posteriores y entender que en cualquier cadena joven de alto rendimiento pueden surgir riesgos relevantes. Dimensiona las posiciones en Move en consecuencia y considera la existencia de programas de recompensas como parte esencial de la seguridad.
Este artículo es solo informativo y no constituye asesoramiento financiero o de inversión. El trading con criptomonedas implica riesgos considerables. Realice siempre su propia investigación antes de tomar decisiones de inversión.
