Biphoo News

collapse
Home / Daily News Analysis / Cómo hackers éticos con solo un servidor de $3,000 encontraron una vulnerabilidad que podría haber puesto en riesgo $70 mil millones en criptomonedas

Cómo hackers éticos con solo un servidor de $3,000 encontraron una vulnerabilidad que podría haber puesto en riesgo $70 mil millones en criptomonedas

Jul 10, 2026  Twila Rosenbaum  5 views
Cómo hackers éticos con solo un servidor de $3,000 encontraron una vulnerabilidad que podría haber puesto en riesgo $70 mil millones en criptomonedas

Un equipo de hackers éticos de la firma de seguridad Hexens ha demostrado cómo una vulnerabilidad crítica en la blockchain de Aptos podría haber puesto en riesgo hasta 70 mil millones de dólares en criptomonedas, incluyendo stablecoins ampliamente utilizadas y puentes entre cadenas. Utilizando únicamente un servidor con un costo de 3.000 dólares, lograron una tasa de éxito superior al 90% en condiciones reales de red, simulando aproximadamente un tercio de los validadores de la red. La falla, que fue reportada a través de canales de seguridad de emergencia el 25 de febrero, fue corregida en cuestión de días, evitando así la pérdida de fondos.

Detalles de la vulnerabilidad

La vulnerabilidad descubierta por Hexens residía en el mecanismo de consenso de Aptos, una blockchain de capa 1 que utiliza el lenguaje Move, conocido por su enfoque en seguridad y escalabilidad. Según los investigadores, la falla permitía a un atacante manipular el proceso de finalización de bloques, lo que podría haber llevado a la reorganización de la cadena o incluso a la creación de bloques inválidos. Con un control limitado sobre un tercio de los validadores —logrado mediante la configuración de nodos maliciosos—, los hackers podrían haber interrumpido la integridad de la red, permitiendo potencialmente gastos dobles o el robo de activos a través de puentes.

El equipo de Hexens llevó a cabo simulaciones exhaustivas utilizando un servidor bien equipado pero económico. Con 32 núcleos de CPU, 64 GB de RAM y almacenamiento SSD, el servidor fue suficiente para ejecutar nodos que imitaban el comportamiento de los validadores reales. La simulación demostró que, incluso sin acceso interno ni permisos especiales, un atacante podría alcanzar una tasa de éxito del 90% para vulnerar la garantía de seguridad fundamental de la red. Este hallazgo es particularmente alarmante porque Aptos alberga un ecosistema significativo de aplicaciones descentralizadas y activos tokenizados, incluyendo stablecoins como USDC y USDT, así como puentes que conectan con otras cadenas como Ethereum y Solana.

Contexto y relevancia

Aptos se lanzó en octubre de 2022, creada por ex ingenieros de la ahora desaparecida Diem de Meta. La blockchain se destaca por su alto rendimiento y bajas tarifas, atrayendo a desarrolladores y proyectos DeFi. Sin embargo, como cualquier sistema complejo, no está exenta de vulnerabilidades. A principios de 2023, Aptos experimentó una breve interrupción debido a un error en su mecanismo de transacciones. Esta nueva falla, sin embargo, es mucho más grave, ya que ataca directamente el consenso que asegura la red.

Los expertos en seguridad han señalado que la vulnerabilidad no solo amenazaba los fondos dentro de la propia cadena, sino también los activos bloqueados en puentes. Los puentes entre cadenas son un punto crítico en el ecosistema cripto, ya que a menudo contienen grandes cantidades de valor y han sido blanco de ataques en el pasado. Por ejemplo, el puente de Ronin Network fue hackeado por más de 600 millones de dólares en 2022. En el caso de Aptos, si la vulnerabilidad hubiera sido explotada, el atacante podría haber drenado fondos de puentes o manipulado transacciones de stablecoins, causando un daño sistémico.

Proceso de divulgación responsable

Hexens notificó a la Fundación Aptos de manera urgente el 25 de febrero, proporcionando detalles completos de la falla. El equipo de Aptos respondió rápidamente y lanzó un parche en cuestión de días, actualizando el software de los validadores para cerrar la brecha. La comunidad fue informada después de que el parche estuviera activo, siguiendo las mejores prácticas de divulgación responsable. No se reportaron pérdidas de fondos, y la red continuó funcionando con normalidad. Este caso resalta la importancia de los programas de bug bounty y la colaboración entre investigadores de seguridad y proyectos blockchain.

La vulnerabilidad descubierta por Hexens subraya que incluso las blockchains más modernas y bien diseñadas pueden tener fallas críticas. La inversión en seguridad es esencial, especialmente cuando están en juego miles de millones de dólares en activos digitales. El hecho de que un ataque simulado con un servidor de solo 3.000 dólares pudiera tener un impacto tan devastador demuestra la necesidad de una vigilancia constante y auditorías periódicas. Aunque el parche ha sido implementado, este incidente servirá como un recordatorio para todo el ecosistema.

Análisis técnico ampliado

Para comprender mejor la vulnerabilidad, es necesario examinar el funcionamiento del consenso en Aptos. La blockchain utiliza un mecanismo de Proof of Stake (PoS) basado en el algoritmo HotStuff, que es una variante de Byzantine Fault Tolerance (BFT). En este sistema, los validadores se turnan para proponer bloques, y los demás validadores votan sobre la validez. La falla explotada por Hexens permitía a un validador malicioso influir en el proceso de votación, evitando que se alcanzara el consenso necesario para finalizar un bloque. Al controlar un tercio de los validadores, el atacante podía inducir un fork temporal o incluso revertir transacciones confirmadas.

La simulación de Hexens mostró que el ataque era viable incluso con una latencia de red realista y condiciones de competencia. Los investigadores ajustaron sus nodos para imitar los comportamientos normales de los validadores, evitando detección. Esto significa que un ataque real podría haber pasado desapercibido durante algún tiempo, permitiendo al atacante realizar múltiples transacciones fraudulentas. La vulnerabilidad no requería acceso a claves privadas ni a la infraestructura interna de los validadores; simplemente explotaba una debilidad en el protocolo de consenso.

Además, el ataque no se limitaba a una sola cadena. Dado que Aptos tiene puentes con otras redes, un atacante podría haber utilizado la vulnerabilidad para bloquear fondos en el puente y luego reclamarlos en la otra cadena, efectivamente robando los activos. El valor total asegurado en estos puentes era significativo, alcanzando los 70 mil millones de dólares en stablecoins y otros tokens. Este riesgo sistémico llevó a que los investigadores consideraran la vulnerabilidad como crítica.

Lecciones para la industria

Este incidente resalta la importancia de las pruebas de penetración y la colaboración con hackers éticos. Muchas blockchains ahora ofrecen recompensas sustanciales por descubrimientos de vulnerabilidades, pero el caso de Aptos muestra que incluso las redes más avanzadas pueden pasar por alto fallos fundamentales. La comunidad de seguridad cripto ha elogiado a Hexens por su rápida divulgación y a Aptos por su respuesta eficiente. Sin embargo, también han señalado que la vulnerabilidad debería haber sido detectada durante las auditorías de lanzamiento.

A medida que el ecosistema cripto madura, la seguridad se convierte en un diferenciador clave. Los inversores y usuarios exigen redes que no solo sean rápidas y baratas, sino también seguras. La vulnerabilidad de Aptos, aunque parcheada, podría afectar la confianza en la plataforma a corto plazo. No obstante, la transparencia y la rápida remediación pueden fortalecer la confianza a largo plazo.

En resumen, esta historia demuestra que el riesgo en el mundo de las criptomonedas no solo proviene de errores de software, sino también de debilidades en los protocolos de consenso. Los hackers éticos desempeñan un papel crucial en la protección de los activos digitales, y su trabajo debe ser apoyado y valorado por toda la industria.


Source: Coindesk News


Share:

Your experience on this site will be improved by allowing cookies Cookie Policy