Pesquisadores da Hexens identificaram uma vulnerabilidade crítica na blockchain da Aptos que poderia ter exposto até US$ 70 bilhões em criptoativos a riscos. O problema foi relatado em 25 de fevereiro e corrigido em poucos dias, sem perda de fundos.
Hackers do bem da empresa de segurança Hexens descobriram um bug de cache obsoleto na máquina virtual Move da Aptos. A falha permitia potenciais ataques de confusão de tipos que poderiam contornar as garantias de segurança centrais da linguagem de programação Move.
A equipe simulou o ataque usando uma configuração de servidor de US$ 3.000 que aproximava um terço da rede de validadores. Eles alcançaram uma taxa de sucesso de mais de 90 por cento em cerca de 20 testes realizados sob condições que correspondiam ao tráfego da rede principal (mainnet) e à distribuição de participação (stake).
A Aptos Labs recebeu o relatório por meio de seu programa de recompensa por bugs em 25 de fevereiro. Uma correção foi desenvolvida, testada e implementada na rede principal em poucas horas. Um porta-voz da Aptos declarou que nenhum usuário ou fundo foi impactado.
Avaliadores independentes, incluindo Mudit Gupta da Polygon, confirmaram que a prova de conceito funcionou conforme o descrito. A Grego AI estimou separadamente que cerca de US$ 250 milhões em valor nativo da Aptos estavam diretamente em risco, enquanto a exposição mais ampla entre cadeias (cross-chain) poderia ter atingido o valor sistêmico mais alto.