Pesquisadores da Hexens revelaram uma falha crítica já corrigida na Aptos que, em simulações, poderia atingir stablecoins, bridges e protocolos conectados. A Aptos diz que corrigiu o problema em poucas horas e que nenhum usuário ou fundo foi afetado.
A Aptos corrigiu uma vulnerabilidade crítica na sua máquina virtual Move depois que pesquisadores de segurança demonstraram um caminho de ataque com potencial sistêmico para bridges, stablecoins e protocolos DeFi conectados à rede. Segundo o CoinDesk, a estimativa mais ampla de risco chegava a US$ 70 bilhões em exposição cruzada, embora a falha tenha sido corrigida antes de qualquer perda.
O caso importa porque não se trata apenas de mais um bug isolado em smart contract. A falha estava ligada à Move VM, o ambiente que executa contratos na Aptos, e envolvia uma condição de “type confusion” causada por cache desatualizado. Na prática, pesquisadores da Hexens afirmam que esse tipo de problema poderia quebrar uma das garantias centrais da linguagem Move: impedir que um recurso on-chain seja tratado como outro.
O que foi descoberto
De acordo com a reportagem, a Hexens comunicou a vulnerabilidade em 25 de fevereiro, por canais emergenciais e pelo programa de bug bounty. A Aptos Labs afirmou ao CoinDesk que o problema já estava em triagem interna, que a correção foi desenvolvida, testada e implantada na mainnet em poucas horas, e que nenhum usuário ou fundo foi impactado.
A empresa também contestou a facilidade de exploração em condições reais. Ainda assim, o material analisado por especialistas independentes indicou que o ataque simulado funcionava sob determinadas condições de rede. A Hexens teria executado cerca de 20 tentativas em um ambiente de teste com mais de 30 validadores, tráfego orgânico e distribuição de stake inspirada na mainnet, obtendo sucesso em 17 ou 18 delas.
O custo da simulação também chamou atenção: cerca de US$ 3.000 em infraestrutura de servidor. A estimativa não significa que US$ 70 bilhões estavam automaticamente prontos para serem roubados, mas mostra como uma falha em camada de execução pode se espalhar por dependências que confiam em permissões, bridges, sistemas de mensageria e emissores de stablecoins.
Por que o risco ia além da Aptos
Na Move, permissões sensíveis podem ser representadas como recursos on-chain. Isso inclui capacidades administrativas, funções ligadas à emissão de ativos, controles de bridges e estados de contabilidade de protocolos. Se esse modelo é comprometido, o dano potencial não fica limitado a um único aplicativo.
Esse é o ponto mais relevante para o leitor brasileiro: o mercado costuma olhar para hacks como eventos pontuais, mas a infraestrutura cripto é cada vez mais interligada. Bridges, stablecoins e exchanges funcionam como canais de propagação de risco. O CriptoBR já mostrou esse padrão em casos como o aumento de perdas em hacks de DeFi envolvendo bridges e no alerta de que a automação pode ampliar ataques bilionários em DeFi.
A própria Aptos mantém uma página pública sobre suas iniciativas de segurança, incluindo auditorias, monitoramento e programas de recompensa por bugs. Esse tipo de defesa em camadas ganha peso quando a ameaça está em componentes básicos da rede, e não apenas em contratos de aplicativos.
Correção rápida não elimina o alerta
O fato de não haver perda de fundos é o ponto positivo da história. A resposta coordenada, com participação de canais emergenciais como o SEAL911, mostra que a indústria está mais preparada para lidar com vulnerabilidades críticas antes da exploração pública. Também reforça a importância de disclosure responsável: pesquisadores encontram, reportam, equipes corrigem e só depois o mercado toma conhecimento dos detalhes.
Mas o episódio também deixa um recado desconfortável. Redes de alta performance e linguagens desenhadas para segurança continuam sujeitas a bugs profundos, especialmente em áreas como cache, execução paralela e garantias de tipo. Para investidores e usuários, a conclusão não é abandonar Aptos ou Move, mas entender que TVL, bridges e stablecoins carregam riscos técnicos que nem sempre aparecem nos gráficos de preço.
Esse debate conversa com a cobertura recente do CriptoBR sobre auditorias de segurança mais baratas com IA: ferramentas melhores ajudam, mas não substituem processos de resposta, revisão independente e limites de dano quando algo foge do esperado.
Em uma indústria onde uma falha pode atravessar várias redes em minutos, a pergunta central deixa de ser apenas “o bug foi corrigido?” e passa a ser “quais sistemas impediriam que ele virasse uma crise maior?”. No caso da Aptos, a correção chegou antes do prejuízo. Para o restante do mercado, o aviso ficou registrado.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...





