Un servidor de 3000 dólares que casi logra movilizar 70.000 millones en activos on-chain
Acabo de ver un informe de CoinDesk y se me erizó un poco la piel.
Los investigadores de la empresa de seguridad Hexens, usando un servidor “normal” con una configuración de 3000 dólares, encontraron una vulnerabilidad crítica en la cadena Aptos. La tasa de éxito del ataque ronda el 90%, y puede simular aproximadamente 1/3 de la red de validadores. En teoría, podría poner en riesgo hasta 70.000 millones de dólares en activos on-chain.
La vulnerabilidad está en un fallo de caché obsoleta de la máquina virtual (Move VM), que puede provocar confusión de tipos, permitiendo que el código del atacante se escriba directamente en el área de almacenamiento de otros contratos. ¿Qué significa esto? Que los stablecoins, los puentes entre cadenas y los protocolos DeFi, si se ven comprometidos, pueden desencadenar un efecto dominó y colapsar en cadena. Incluso Move, un lenguaje conocido por la seguridad de tipos, puede ser eludido a nivel de implementación en la VM.
Por suerte, esta vez fue una acción de “white hat”. El 25 de febrero, tras reportar el fallo mediante el programa de recompensas, el parche se desplegó en la red principal en cuestión de horas, sin causar pérdidas reales. La Fundación/Oficial de Aptos reconoce que existe la vulnerabilidad, pero mantiene reservas respecto al cifra de 70.000 millones de activos afectados. El CTO de Polygon, Mudit Gupta, verificó de forma independiente la efectividad del PoC, lo que respalda indirectamente la gravedad del problema.
Este caso nos deja una advertencia a los usuarios comunes:
1. Incluso las nuevas L1 con reputación de seguridad siguen dependiendo, en última instancia, de los detalles de implementación, no solo del diseño del lenguaje.
2. Diversificar los activos entre distintas cadenas y protocolos siempre es la forma más “tonta” pero más efectiva de reducir el riesgo sistémico.
3. Prestar atención a si los proyectos cuentan con un programa de recompensas de vulnerabilidades activo y a la velocidad de respuesta: en esta ocasión Aptos corrigió el problema en horas, lo cual es una señal positiva de gobernanza de seguridad madura.
Por el momento, las fuentes públicas provienen principalmente de CoinDesk. Aún no han salido los anuncios oficiales de Hexens y de Aptos, por lo que se debe verificar la integridad de la información. Pero, independientemente de si la cifra final es 70.000 millones o se reduce, esta ruta de ataque de bajo costo y alto impacto merece que todo el ecosistema Move esté alerta.
Descargo de responsabilidad: solo es una recopilación de información y una revisión lógica, y no constituye ningún consejo de inversión. Hay riesgos en el mercado; investiga por tu cuenta.
$BTC $ETH $BNB #cadena_seguridad
Acabo de ver un informe de CoinDesk y se me erizó un poco la piel.
Los investigadores de la empresa de seguridad Hexens, usando un servidor “normal” con una configuración de 3000 dólares, encontraron una vulnerabilidad crítica en la cadena Aptos. La tasa de éxito del ataque ronda el 90%, y puede simular aproximadamente 1/3 de la red de validadores. En teoría, podría poner en riesgo hasta 70.000 millones de dólares en activos on-chain.
La vulnerabilidad está en un fallo de caché obsoleta de la máquina virtual (Move VM), que puede provocar confusión de tipos, permitiendo que el código del atacante se escriba directamente en el área de almacenamiento de otros contratos. ¿Qué significa esto? Que los stablecoins, los puentes entre cadenas y los protocolos DeFi, si se ven comprometidos, pueden desencadenar un efecto dominó y colapsar en cadena. Incluso Move, un lenguaje conocido por la seguridad de tipos, puede ser eludido a nivel de implementación en la VM.
Por suerte, esta vez fue una acción de “white hat”. El 25 de febrero, tras reportar el fallo mediante el programa de recompensas, el parche se desplegó en la red principal en cuestión de horas, sin causar pérdidas reales. La Fundación/Oficial de Aptos reconoce que existe la vulnerabilidad, pero mantiene reservas respecto al cifra de 70.000 millones de activos afectados. El CTO de Polygon, Mudit Gupta, verificó de forma independiente la efectividad del PoC, lo que respalda indirectamente la gravedad del problema.
Este caso nos deja una advertencia a los usuarios comunes:
1. Incluso las nuevas L1 con reputación de seguridad siguen dependiendo, en última instancia, de los detalles de implementación, no solo del diseño del lenguaje.
2. Diversificar los activos entre distintas cadenas y protocolos siempre es la forma más “tonta” pero más efectiva de reducir el riesgo sistémico.
3. Prestar atención a si los proyectos cuentan con un programa de recompensas de vulnerabilidades activo y a la velocidad de respuesta: en esta ocasión Aptos corrigió el problema en horas, lo cual es una señal positiva de gobernanza de seguridad madura.
Por el momento, las fuentes públicas provienen principalmente de CoinDesk. Aún no han salido los anuncios oficiales de Hexens y de Aptos, por lo que se debe verificar la integridad de la información. Pero, independientemente de si la cifra final es 70.000 millones o se reduce, esta ruta de ataque de bajo costo y alto impacto merece que todo el ecosistema Move esté alerta.
Descargo de responsabilidad: solo es una recopilación de información y una revisión lógica, y no constituye ningún consejo de inversión. Hay riesgos en el mercado; investiga por tu cuenta.
$BTC $ETH $BNB #cadena_seguridad
