Bastaron un servidor de 3.000 dólares y un buen fin de semana para amenazar una blockchain con 70.000 millones de dólares en valor. Esa es la lección incómoda que llega de una divulgación hecha pública el 4 de julio, y que va mucho más allá de un proyecto concreto.
La buena noticia, hay que decirlo de entrada, es que no se perdió ningún fondo. La mala es lo poco que habría hecho falta para que el desenlace fuera diferente.
Qué ocurrió
La empresa de seguridad Hexens, liderada por su cofundador y CTO Vahe Karapetyan, descubrió un defecto crítico en la Move VM de Aptos, el motor que ejecuta cada smart contract de la red. Se trata de un llamado stale-cache bug que genera una confusión de tipos: en términos simples, el sistema podía ser engañado y llevado a tratar un recurso on-chain como si fuera algo completamente distinto.
El peligro reside en lo que eso permite. En el lenguaje Move, los permisos del protocolo (como el derecho a acuñar una stablecoin, controlar un bridge o administrar un mercado de préstamos) se almacenan como recursos on-chain. Manipularlos equivale a apropiarse de esas autoridades. El defecto fue reportado el 25 de febrero a través del programa bug bounty, corregido en pocas horas y publicado recién el 4 de julio. En las pruebas, el ataque tuvo éxito más del 90% de las veces con un equipo de 3.000 dólares y sin necesidad de accesos privilegiados.
Por qué importa: qué podía pasar
El riesgo no afectaba a los tokens en las billeteras, sino a la infraestructura que conecta las redes entre sí. La empresa Grego AI, que verificó de forma independiente la prueba de concepto, estimó cerca de 250 millones de dólares en valor directamente expuesto solo en Aptos. Pero a través de los bridges y los sistemas cross-chain como LayerZero, Wormhole y el protocolo de USDC, la estimación del riesgo sistémico de primer orden sube hasta 70.000 millones de dólares.
Este es el punto que todo usuario debería interiorizar: comprometer una blockchain raramente se detiene en la blockchain afectada. El valor accesible a través de los puentes hacia otras redes convierte un problema local en una posible crisis de todo el sector.
La asimetría que debería hacernos reflexionar
Fuente: Hexens, Grego AI, CoinDesk, julio de 2026
- Costo del ataque simulado: cerca de 3.000 $
- Recompensa máxima del bug bounty de Aptos: 1 millón $
- Riesgo sistémico estimado: hasta 70.000 millones $
Un desequilibrio que explica por qué la seguridad de todo el sector depende de la decisión ética de unos pocos investigadores.
El mito del “seguro por diseño”
Hay una ironía que da que pensar. El lenguaje Move nació del proyecto Diem de Meta precisamente con la seguridad como principio fundacional, y almacena los permisos como recursos para hacerlos más difíciles de manipular. Sin embargo, presentó un defecto crítico en su propio motor de ejecución.
La lección para quienes construyen es clara: una vulnerabilidad a nivel de VM se sitúa por debajo de la seguridad de las aplicaciones individuales. Puedes escribir el smart contract más cuidado del mundo, pero si el nivel base que lo ejecuta es vulnerable, ese cuidado no te protege. Ninguna arquitectura, por moderna que sea, es inmune.
La lección incómoda: la economía de la seguridad está rota
El punto más profundo es económico. Una superficie de riesgo de decenas de miles de millones de dólares estaba custodiada por una recompensa máxima de un millón de dólares. Un investigador que podría haber vendido esa vulnerabilidad en el mercado negro por una cifra muy superior eligió enviar un correo electrónico en lugar de vaciar las billeteras. Gran parte de la seguridad de este sector descansa hoy en esa decisión.
Aptos cuestiona la gravedad práctica y habla de una explotabilidad “extremadamente baja” en condiciones reales. Pero el CTO de Polygon, Mudit Gupta, ejecutó el exploit de forma independiente y confirmó que funcionaba. Cuando incluso una red rápida y bien financiada resulta tan frágil, la narrativa de la blockchain “inviolable” queda archivada. El criterio de evaluación cambia: ya no se trata de presumir de cuántas transacciones por segundo se procesan, sino de preguntarse lo contrario: con qué rapidez una red es capaz de detenerse sola, con interruptores automáticos que congelen las transferencias en el instante en que algo no cuadra.
No se perdió ningún fondo, y eso merece reconocerse. Pero el mérito es de un bug bounty y de un parche rápido, no de la suerte en el momento del ataque. La próxima vez que una red se declare inviolable, vale la pena recordar lo delgada que era esa línea, y mirar no solo a la aplicación, sino a la seguridad y los incentivos de su nivel base. Los detalles permanecen verificables en los sitios oficiales de Aptos Foundation y de Hexens.
