Hexens descobriu vulnerabilidade de confusão de tipos no Aptos, taxa de sucesso de ataque aproxima-se dos 90%

APT-2,70%
USDC0,01%

O diretor técnico da empresa de segurança Hexens, Vahe Karapetyan, descobriu a 5 de julho uma vulnerabilidade de cache obsoleto na máquina virtual Move da blockchain Aptos, causando confusão de tipos; esta vulnerabilidade pode enganar o software para contornar as garantias de segurança de tipo da linguagem Move. A Hexens montou um ambiente de simulação com um servidor que custou cerca de 3.000 dólares, e em 20 testes a taxa de sucesso do ataque aproximou-se de 90%.

Servidor de 3.000 dólares, 20 simulações, 17-18 sucessos, taxa de sucesso de ataque próxima de 90%

De acordo com o relatório técnico da Hexens, a equipa de Karapetyan, para verificar a viabilidade da vulnerabilidade, construiu um ambiente de simulação próximo da escala da mainnet: mais de 30 nós validadores, distribuição de staking próxima da mainnet, tráfego de transações real e alta concorrência de execução, com um custo de montagem de cerca de 3.000 dólares; se um ataque real fosse lançado, o custo seria ainda menor, e não seriam necessárias permissões de validador, conhecimento interno ou acesso privilegiado.

A Hexens testou cerca de 20 vezes no ambiente de simulação, com sucesso em 17-18 vezes, uma taxa de sucesso próxima de 90%; mesmo com 2-3 falhas ocasionais, a rede não pararia, e o atacante poderia esperar pacientemente pela próxima janela de oportunidade.

Intervenção da SEAL911, correção concluída em horas e notificação a projetos a jusante

De acordo com a Aptos oficial e a CoinDesk, a Hexens reportou a vulnerabilidade a 25 de fevereiro de 2026 através do programa bug bounty da Aptos; a Aptos afirmou que, quando recebeu o relatório, a sua equipa já estava a tratar do problema. A equipa de resposta a emergências voluntária da indústria cripto, SEAL911, abriu uma sala de operações no mesmo dia; na tarde desse mesmo dia, a Aptos notificou os fornecedores afetados e 4 projetos principais a jusante, anexando uma prova de conceito (PoC) executável localmente.

A Aptos disse à CoinDesk: «A correção foi desenvolvida, testada e implantada na mainnet horas após a descoberta, sem que nenhum utilizador ou fundo fosse afetado durante todo o processo.» O pull request público da correção foi disponibilizado a 27 de fevereiro, mas os validadores privados já tinham concluído a implantação da correção antes do commit público.

Mudit Gupta, CTO da Polygon, e Grego AI verificaram independentemente a eficácia da PoC

De acordo com a CoinDesk, houve uma discrepância significativa entre as avaliações da Aptos e da Hexens: a Aptos afirmou que «a análise concluiu que esta vulnerabilidade tem baixíssima explorabilidade em condições reais», enquanto a Hexens respondeu que ainda não recebeu qualquer refutação técnica baseada em evidências.

Mudit Gupta, CTO da Polygon, após revisar a PoC de forma independente, disse: «Ela funciona conforme o afirmado, a vulnerabilidade faz sentido… precisa de algumas condições, mas parece que eles as alcançaram na mainnet.»

Após a verificação da PoC pela organização independente Grego AI, o CEO Justus Hanna afirmou diretamente: «Se um agente malicioso obtiver esta vulnerabilidade, pode levar qualquer TVL (valor total bloqueado) que desejar.»

Estimativa de risco: exposição direta de TVL nativa da Aptos de aproximadamente 250 milhões de dólares

  • Exposição direta de TVL nativa da Aptos (avaliação da Grego AI): Com base na taxa de sucesso de ataque de quase 90%, cerca de 250 milhões de dólares de TVL nativa da Aptos estão diretamente ameaçados, não incluindo exposição cross-chain.

  • Risco sistémico (avaliação da Hexens): Até 70 mil milhões de dólares, abrangendo pontes cross-chain, sistemas de mensagens cross-chain, processos de gestão de emissão de stablecoins e ativos acessíveis a exchanges centralizadas; este número pressupõe que o atacante emita grandes quantidades de USDC e transfira os ativos para outras cadeias através do protocolo de transferência cross-chain da Circle (CCTP).

  • Limitação da Circle: A Circle afirma que não congelará ativos sem autorização legal, o que significa que, se as partes intervirem atempadamente, a probabilidade de concretização total do risco de 70 mil milhões de dólares é limitada.

  • Risco de propagação da cadeia de confiança: As permissões críticas de protocolo na linguagem Move (cunhagem de stablecoins, controlo de pontes cross-chain, gestão de mercados de empréstimo) são armazenadas como «recursos on-chain». Uma vez comprometidas, o dano propaga-se ao longo da cadeia de confiança para todos os sistemas que dela dependem.

Durante os testes, a Hexens assumiu temporariamente um papel semelhante ao de «master minter», operando através do caminho de gestão legítimo, parando antes da cunhagem real, mas isso foi suficiente para demonstrar que tais papéis devem ser incluídos no modelo de ameaça completo.

Perguntas Frequentes

O que é a vulnerabilidade da Aptos Move VM e como funciona?

De acordo com o relatório técnico da Hexens, é uma «vulnerabilidade de cache obsoleto (stale-cache bug)» que causa «confusão de tipos (type confusion)»; o software é enganado para confundir um tipo de recurso on-chain com outro, contornando as garantias de segurança de tipo da linguagem Move, equivalente a permitir que o código controlado pelo atacante escreva diretamente no armazenamento de outros contratos.

Esta vulnerabilidade já foi corrigida? Qual foi o cronograma da correção?

De acordo com a declaração oficial da Aptos, a correção foi concluída, testada e implantada na mainnet horas após o relato da vulnerabilidade a 25 de fevereiro de 2026, com os validadores privados a concluírem a implantação ainda mais cedo; o PR público foi disponibilizado a 27 de fevereiro; a Aptos afirmou que nenhum utilizador ou fundo foi afetado durante todo o processo.

Como foi calculado o risco sistémico de 70 mil milhões de dólares avaliado pela Hexens?

De acordo com a avaliação da Hexens, os 70 mil milhões de dólares abrangem pontes cross-chain, sistemas de mensagens cross-chain, emissão de stablecoins e ativos acessíveis a exchanges centralizadas; a premissa é que o atacante emita grandes quantidades de USDC e os transfira para outras cadeias através do CCTP da Circle. A Circle afirma que não congelará ativos sem autorização legal, e se as partes intervirem atempadamente, a probabilidade de concretização total do risco é limitada.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário