Falha na Aptos pôs US$ 70 bi em risco cripto por US$ 3 mil
Um servidor de US$ 3 mil bastou para simular ataque que exploraria vulnerabilidade na Aptos, com potencial de comprometer bridges, stablecoins e exchanges.
Uma firma de segurança blockchain precisou de um servidor de aproximadamente US$ 3 mil para simular um caminho de ataque que, segundo seus pesquisadores, poderia ter colocado até US$ 70 bilhões em infraestrutura cripto em risco. O alvo era uma falha crítica na Aptos, blockchain de camada 1 construída sobre a linguagem Move, herança direta do projeto Diem, abandonado pela Meta.
A vulnerabilidade foi reportada em fevereiro pela Hexens, empresa especializada em auditoria de contratos inteligentes. A equipe da Aptos corrigiu o problema em horas, sem que fundos de usuários fossem afetados. Mas os detalhes técnicos do que foi descoberto revelam o quanto a indústria cripto ainda depende de poucos pontos de falha para sustentar bilhões em valor.
O que a falha na Aptos Move VM permitia
A vulnerabilidade identificada pela Hexens era do tipo “stale-cache bug”, que levava a uma condição de confusão de tipos. Na prática, o software poderia ser induzido a tratar um recurso on-chain como se fosse outro. Isso é grave porque, na linguagem Move, permissões de protocolo como o direito de cunhar stablecoins, controlar bridges ou administrar mercados de empréstimo são armazenadas diretamente como recursos na cadeia.
Se esses recursos fossem comprometidos, o dano não ficaria restrito a um único protocolo. Ele se estenderia a tudo que confia neles. Os pesquisadores da Hexens ofereceram uma analogia: o bug seria comparável, em uma cadeia no padrão Ethereum, a permitir que código controlado por um atacante escrevesse no armazenamento de outros contratos, contornando exatamente as garantias de segurança que a linguagem Move foi projetada para oferecer.
Vahe Karapetyan, CTO e cofundador da Hexens, liderou a descoberta. Segundo a firma, a simulação do ataque foi executada cerca de 20 vezes em ambiente controlado, com sucesso em 17 ou 18 tentativas. As poucas falhas não derrubaram a rede, o que significa que um atacante real teria janelas para tentar novamente sem consequências visíveis.
Como US$ 3 mil simularam um ataque de bilhões
O ambiente de teste foi construído para aproximar condições reais da mainnet da Aptos: mais de 30 nós validadores, distribuição de stake similar à rede principal, tráfego orgânico de transações e contenção pesada de execução. A equipe também utilizou o que chamou de “técnicas de calibração não armada”, simulações secas que mediam condições do mempool e construção de blocos antes de executar a tentativa real.
Esses passos reduziram a incerteza dos elementos probabilísticos do exploit, tornando o caminho de ataque mais confiável na prática. O custo total da infraestrutura foi de cerca de US$ 3 mil. Um atacante malicioso, segundo a Hexens, precisaria de ainda menos, sem necessidade de acesso a validadores, conhecimento interno ou permissões privilegiadas de protocolo.
A Grego AI, que verificou de forma independente a prova de conceito, calculou que aproximadamente US$ 250 milhões em TVL nativo da Aptos estavam diretamente em risco, com base na taxa de sucesso de quase 90%. Mudit Gupta, CTO da Polygon, também revisou os materiais de forma independente e confirmou que o exploit funcionava conforme descrito.
Já a equipe da Aptos contestou a explorabilidade prática do bug. “Nossa análise determinou que o bug teria explorabilidade extremamente baixa em condições reais”, disse um porta-voz do projeto. A correção foi desenvolvida, testada e implantada na mainnet em horas após a descoberta, segundo a empresa.
O risco sistêmico vai além da Aptos
O valor de US$ 70 bilhões estimado pela Hexens não se refere apenas ao TVL da Aptos. Compromissos em nível de blockchain raramente param na cadeia afetada. A avaliação inclui valor acessível por meio de bridges como LayerZero e Wormhole, sistemas de mensageria cross-chain, fluxos de administração de stablecoins como o CCTP da USDC e exposição em exchanges centralizadas.
Segundo Justus Hanna, CEO da Grego AI, “se atores maliciosos tivessem acesso a esse bug, teriam sido capazes de tomar todo o TVL que quisessem”. O exploit permitiria roubar capacidades de protocolo, incluindo aquelas mantidas por infraestruturas que conectam múltiplas blockchains. Como já discutimos em análises sobre segurança no ecossistema cripto, ataques a bridges representam um dos vetores de risco mais devastadores do setor.
Para contexto, o hack da Bybit no ano passado resultou em US$ 1,5 bilhão roubados, o maior da história cripto até então. Em junho, o Zcash revelou um bug crítico que ficou indetectado por quatro anos em seu pool de privacidade, capaz de permitir a criação ilimitada de tokens falsos. Esses episódios reforçam um padrão: vulnerabilidades críticas em infraestrutura blockchain continuam aparecendo com frequência preocupante.
O que isso significa para a segurança da indústria
O caso da Aptos ilustra uma tensão fundamental. A linguagem Move foi criada justamente para ser mais segura que o Solidity do Ethereum, com verificação de tipos e controle de recursos mais rígidos. Ainda assim, uma falha na máquina virtual que executa o código foi suficiente para comprometer essas garantias.
O fato de que um servidor barato bastou para montar a simulação completa do ataque diz algo sobre a assimetria de custos em segurança cripto. A indústria administra centenas de bilhões em valor total bloqueado, mas a barreira de entrada para explorar vulnerabilidades permanece surpreendentemente baixa.
Programas de bug bounty, como o que permitiu a divulgação responsável neste caso, funcionam. Mas dependem de pesquisadores agirem de boa-fé. Como mostramos em coberturas sobre riscos no mercado financeiro digital, o setor precisa de camadas adicionais de defesa, desde auditorias contínuas de máquinas virtuais até monitoramento em tempo real de anomalias on-chain.
A Aptos corrigiu o problema rapidamente e nenhum fundo foi perdido. Mas a margem entre uma correção a tempo e uma catástrofe de dezenas de bilhões foi, neste caso, de poucas horas e da boa vontade de um time de pesquisadores. Confiar nisso como modelo de segurança para uma indústria que busca adoção institucional é, no mínimo, desconfortável.
Este conteúdo é informativo e educacional e não constitui recomendação de investimento. Rentabilidade passada não é garantia de resultados futuros.