logo
$7M Ultimate Champion
Regístrate y obtén 15.000 USDT en recompensas
¡Una oferta por tiempo limitado te espera!

Falla de $70 mil millones en Aptos: cómo un servidor de $3,000 la expuso

Puntos clave

Un servidor de $3,000 permitió a investigadores simular un tercio de los validadores de Aptos y detectar una vulnerabilidad crítica, con impacto sistémico potencial de $70 mil millones. Aquí se explica cómo y por qué se identificó el problema y sus implicaciones.

Un servidor alquilado por aproximadamente $3,000 no debería poder amenazar $70 mil millones en activos digitales. A finales de febrero de 2026, investigadores de la firma de seguridad Hexens utilizaron exactamente eso. Configuraron una máquina potente, la usaron para simular aproximadamente un tercio de la red de validadores de Aptos y lograron vulnerar el principal supuesto de confianza de la cadena en 17 o 18 de unos 20 intentos. No se usaron llaves de validador, acceso interno ni permisos especiales. Solo hardware común y un error oculto en la máquina virtual Aptos Move.

La vulnerabilidad se reportó por canales de emergencia, se corrigió en pocos días y no supuso pérdida alguna de fondos. Lo que convirtió una corrección discreta de febrero en un titular del 4 de julio fue la cifra de riesgo sistémico estimado por Hexens: $70 mil millones. Este riesgo abarcaba mucho más que Aptos, incluyendo puentes, mensajería entre cadenas, autoridad de acuñación de stablecoins y saldos en exchanges centralizados.

Aquí se explica qué hacía realmente el error, por qué el riesgo era tan elevado, cómo fue detectado antes de que alguien sufriera pérdidas y qué implica si mantienes APT o utilizas cualquier red basada en Move.

Lo que ocurrió realmente en la red Aptos

La vulnerabilidad fue identificada por Vahe Karapetyan, CTO y cofundador de Hexens, y reportada por canales de seguridad de Aptos el 25 de febrero de 2026. Un parche público estuvo disponible dos días después, el 27 de febrero, y el equipo desplegó la solución en mainnet en cuestión de horas tras confirmar el problema. Los detalles técnicos completos se mantuvieron privados durante más de cuatro meses y solo se hicieron públicos alrededor del 4 de julio de 2026, cuando la red ya había migrado y el riesgo fue eliminado.

Ese intervalo entre la corrección y la divulgación es la práctica estándar para fallos de esta gravedad. No se publica el "manual" de un ataque potencial de $70 mil millones hasta que todos los validadores han cerrado la puerta. Para cuando los lectores supieron del problema, la vía de explotación ya no existía en la cadena en vivo.

Aptos Labs ha minimizado el peligro real de la vulnerabilidad en la práctica. Un portavoz declaró a CoinDesk que su propio análisis determinó que el fallo tenía una "explotabilidad extremadamente baja en condiciones reales", si bien reconocieron que el parche era necesario. Hexens opina diferente, y sus simulaciones son la razón por la que esto se considera más que un riesgo teórico.

Cómo funcionaba la vulnerabilidad, explicado de forma sencilla

Cada blockchain de smart contracts debe responder millones de veces por segundo a una pregunta: ¿qué tipo de dato es esto y qué puede hacer? En Aptos, esa respuesta proviene de la máquina virtual Move, el motor que ejecuta cada contrato y aplica las reglas. Move es reconocida por hacer imposible estructuralmente ciertas formas de robo, razón por la que el hallazgo fue tan relevante.

El error residía en cómo la VM almacenaba en caché información de tipo. Una condición de "caché obsoleta" permitía, bajo ciertos tiempos, que la máquina siguiera usando una respuesta antigua aunque la correcta ya hubiera cambiado. Esto abría la puerta a un error de confusión de tipos, donde el software trataba un recurso on-chain como si fuera otro completamente distinto.

Es como si dejas una chaqueta barata en el guardarropa, te dan un ticket y, más tarde, ese mismo ticket se interpreta como la llave de una bóveda. El ticket no cambia; cambia la memoria del sistema sobre lo que representa. En blockchain, la "autoridad" suele almacenarse como recurso on-chain. Permiso de acuñación, control de un puente, clave de administrador de un mercado de préstamos. Si la VM puede ser engañada para leer un objeto sin valor como uno de autoridad, un atacante obtiene poderes que el protocolo nunca quiso otorgar.

El motivo por el que el servidor de $3,000 era relevante es que algunas ventanas de tiempo solo se abren con fiabilidad si controlas una parte relevante de los validadores. Simular un tercio de la red dio a los investigadores suficiente influencia para reproducir las condiciones, logrando éxito en más del 90% de los intentos. No era una cuestión de suerte, sino un ataque repetible que un adversario motivado podría alquilar.

Por qué el riesgo llegó a $70 mil millones

El valor realmente bloqueado en Aptos era mucho menor. El valor total bloqueado en protocolos Aptos rondaba los $250 millones en ese momento, una cifra considerable pero pequeña comparada con los $70 mil millones. El número grande proviene de todo lo que un objeto de autoridad falsificado podría alcanzar una vez creado.

Un error de confusión de tipos no respeta límites de cadena. El sector cripto moderno está interconectado por puentes, mensajería cross-chain e infraestructura compartida de stablecoins, por lo que una falsedad convincente en una cadena puede ser creída por muchas otras. Hexens mapeó los daños de primer orden sobre los sistemas que confían en el estado de Aptos, llegando a la suma de $70 mil millones.

Capa de riesgo Qué podría alcanzar el bug Por qué importa
Valor nativo de Aptos Aproximadamente $250 millones on-chain Fondos directos en juego en Aptos
Puentes cross-chain Activos bloqueados en contratos de puente Un recurso falsificado puede liberar activos indebidos
Autoridad de acuñación de stablecoins Emisión de USDC mediante el protocolo cross-chain de Circle Permiso falso permite crear nuevos tokens sin respaldo
Saldos en exchanges Depósitos acreditados desde transferencias Aptos Transferencias falsas se registran como legítimas
Mensajería cross-chain Estado transferido entre redes Una falsedad propagada puede afectar otras redes

El aspecto más sensible es la emisión de stablecoins. USDC puede acuñarse y moverse entre cadenas mediante el Protocolo de Transferencia Cross-Chain de Circle, que confía en mensajes sobre lo ocurrido en cada red conectada. Si un atacante falsifica la prueba on-chain que autoriza una acuñación, podría crear stablecoins sin respaldo y dispersarlas antes de que se detecte el problema. Este es el mecanismo que convierte un problema de $250 millones en uno sistémico, al igual que en los principales exploits de puentes de 2026, donde las pérdidas superaron el valor en la cadena afectada.

Cómo se detectó el fallo antes de que hubiera pérdidas

Este aspecto debería tranquilizar más a los poseedores de APT que la cifra de riesgo. El bug fue hallado por una firma de seguridad contratada, reportado mediante canales responsables y solucionado antes de que se detectara actividad maliciosa. El sistema funcionó como debía.

Fecha Evento
25 feb 2026 Hexens reporta la vulnerabilidad por canales de seguridad de Aptos
27 feb 2026 Se publica el parche en el repositorio público
Finales feb 2026 Se prueba y despliega el fix en mainnet, migran los validadores
4 jul 2026 Los detalles se hacen públicos tras eliminar el riesgo

Dos factores hicieron posible la detección. Primero, Aptos ofrece un programa de recompensas por bugs lo suficientemente serio como para atraer a empresas como Hexens, dando incentivos legítimos a los investigadores en vez de vender exploits en foros oscuros. Segundo, el diseño de Move hizo el bug "ruidoso" una vez localizado. El estricto sistema de tipos del lenguaje permitió a los ingenieros analizar y corregir rápidamente, resolviendo el problema en días y no meses.

Sin embargo, hay una lección incómoda: un solo investigador con recursos modestos logró una tasa de éxito en la simulación mayor al 90%. Si los "buenos" pueden alquilar esa capacidad, los "malos" también. La defensa no fue la dificultad del ataque, sino que Hexens lo reportó antes.

Qué significa si tienes APT o usas cadenas Move

APT cotizaba cerca de $0.63 a principios de julio de 2026, y el token apenas reaccionó a la divulgación porque el peligro ya era historia. No hubo pérdida de fondos, insolvencia ni protocolos congelados. Es un bug corregido, no una crisis activa.

Lo que debería cambiar es la percepción sobre las cadenas de alto rendimiento más nuevas. Aptos y otras redes Move son rápidas y están bien diseñadas, eliminando categorías enteras de bugs como reentradas y desbordamientos que afectan a sistemas DeFi más antiguos. Este hallazgo recuerda que "más seguro en ciertos aspectos" no significa "invulnerable". La novedad de Move también implica menos años de pruebas adversariales en comparación con el entorno de ejecución de Ethereum que lleva una década expuesto a ataques.

Para el usuario, la recomendación práctica es la gestión prudente del riesgo y la conciencia. APT pertenece a la parte de mayor riesgo de un portafolio, y la naturaleza cross-chain supone que el riesgo no está plenamente contenido en un solo token. Si mantienes stablecoins o usas mercados de préstamos cross-chain, tu exposición a bugs de la VM de Move es indirecta pero real, ya que esos sistemas confían en estados que un ataque de confusión de tipos podría falsificar. La lección no es evitar la cadena, sino entender que la seguridad de un activo depende de código ejecutándose en redes que quizá nunca uses directamente.

Preguntas frecuentes

¿Es seguro usar Aptos ahora?

La vulnerabilidad específica fue corregida a finales de febrero de 2026 y no se perdieron fondos, por lo que esta vía de ataque ya no existe en mainnet. Ninguna blockchain es totalmente segura, pero Aptos está en mejor posición porque el fallo se detectó y solucionó a tiempo.

¿Qué es una vulnerabilidad de confusión de tipos?

Es un fallo donde el software trata un dato como un objeto del tipo incorrecto, como si un ticket de guardarropa se leyera como un recibo de una bóveda. En blockchain, esto permite que un atacante use recursos sin valor como autoridad de acuñación o control de puentes, lo que hace peligrosa a esta clase de bugs.

¿Alguien perdió fondos realmente por el error de la VM Move de Aptos?

No. Hexens reportó el bug el 25 de febrero, se corrigió en pocos días y la divulgación pública se retrasó hasta el 4 de julio específicamente para evitar ataques antes del parche.

¿Afecta esto a otras blockchains Move como Sui?

El bug era específico de la implementación de Move en Aptos, no afecta automáticamente a todas las cadenas Move. Sin embargo, destaca que redes que comparten el lenguaje Move también comparten un perfil de riesgo similar, por lo que es recomendable seguir cómo cada una gestiona su propia seguridad.

Conclusión

La señal duradera no son los $70 mil millones, sino que un CTO con un servidor de $3,000 y sin acceso privilegiado logró una tasa de éxito superior al 90% contra una cadena ampliamente promocionada como orientada a la seguridad. La diferencia entre marketing y realidad solo se cierra con investigación adversarial pagada y divulgación rápida, ambos casos ejemplificados aquí. Observa cómo Aptos maneja sus próximos programas de recompensas y auditorías; una red que trata advertencias como oportunidades de mejora puede ganar credibilidad a largo plazo.

Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. El trading con criptomonedas conlleva riesgos significativos. Siempre realiza tu propia investigación antes de tomar decisiones de trading.

Regístrate y reclama 15000 USDT
Descargo de responsabilidad
This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our Términos de Uso and Exoneración de Riesgos

Artículos relacionados

Ethereum recupera los $1,750: niveles clave para su próximo movimiento

Ethereum recupera los $1,750: niveles clave para su próximo movimiento

Perspectivas del Mercado
2026-07-05
Bitcoin recupera los $63,000 mientras los flujos de ETF al contado vuelven a ser positivos

Bitcoin recupera los $63,000 mientras los flujos de ETF al contado vuelven a ser positivos

Perspectivas del Mercado
2026-07-05
Precio de XRP hoy: liderando las principales criptomonedas mientras Bitcoin recupera los $63,000

Precio de XRP hoy: liderando las principales criptomonedas mientras Bitcoin recupera los $63,000

Perspectivas del Mercado
2026-07-05
Bancos de Ahorro Alemanes Abrirán Trading de Criptomonedas a 80 Millones de Clientes

Bancos de Ahorro Alemanes Abrirán Trading de Criptomonedas a 80 Millones de Clientes

Perspectivas del Mercado
2026-07-05
Por qué Cardano (ADA) sube antes del lanzamiento del testnet de RealFi el 6 de julio

Por qué Cardano (ADA) sube antes del lanzamiento del testnet de RealFi el 6 de julio

Perspectivas del Mercado
2026-07-05
Top 5 DEXs de Perpetuos a Seguir en 2026: El Auge de la Soberanía Técnica

Top 5 DEXs de Perpetuos a Seguir en 2026: El Auge de la Soberanía Técnica

Perspectivas del Mercado
2026-07-02