Aviso: análisis editorial con datos verificados a 9 de julio de 2026. La vulnerabilidad se reportó el 25 de febrero de 2026, se parcheó en horas y se reveló públicamente el 4 de julio de 2026. Ningún fondo fue robado ni ningún usuario resultó afectado: fue una divulgación responsable, no un ataque ejecutado. No constituye asesoramiento financiero ni de seguridad. Las cifras proceden de la investigación de CoinDesk, de la firma de seguridad Hexens y de coberturas de terceros (CryptoBriefing, SiliconANGLE); pueden ajustarse si Aptos Labs publica un post-mortem técnico detallado. CleanSky no recibe comisiones ni pagos por referral de ningún proyecto mencionado.

Un servidor de 3.000 dólares, sin acceso privilegiado, bastó para demostrar un fallo en la máquina virtual Move (Move VM, el entorno que ejecuta cada contrato inteligente de Aptos) que —según la firma que lo halló— dejaba expuestos, en teoría, hasta 70.000 millones de dólares repartidos entre stablecoins, puentes (bridges, las infraestructuras que mueven activos entre blockchains) y protocolos conectados a la red. Conviene decirlo antes que nada, porque casi todos los titulares lo omiten: no se robó ni un céntimo. La firma de seguridad Hexens reportó el fallo a Aptos el 25 de febrero de 2026 por canales de emergencia, y Aptos lo parcheó en mainnet (la red principal en producción) en cuestión de horas y la historia completa no se hizo pública hasta el 4 de julio, cuando CoinDesk la reconstruyó. Este análisis, a fecha de 9 de julio de 2026, no cubre un desastre —no lo hubo—. Cubre algo más incómodo: cómo un único punto de confianza en una cadena puede propagar riesgo a media docena de protocolos cuyos usuarios ni siquiera sabían que dependían de él. Explicamos qué encontró Hexens, de dónde sale realmente esa cifra de 70.000 millones (y por qué no es «dinero en riesgo hoy»), qué respondió Aptos Labs y qué deja este caso como lección para cualquiera que use un puente cross-chain (entre cadenas).

¿Qué encontró Hexens exactamente en la Move VM de Aptos?

El fallo vivía en la máquina virtual Move, el motor que procesa cada transacción y cada contrato inteligente de Aptos. Hexens lo describió como un stale-cache bug (fallo de caché obsoleta): en determinadas condiciones, el entorno de ejecución seguía usando una versión desactualizada de un dato ya cambiado. Esa inconsistencia derivaba en una type confusion (confusión de tipos), un estado en el que el software puede ser engañado para tratar un tipo de recurso on-chain como si fuera otro distinto.

Traducido a consecuencias: un atacante podía secuestrar structs y recursos de autoridad —las estructuras de datos que en Move definen quién es dueño de qué y quién tiene permiso para hacer qué—. En la práctica, quien explotara el fallo podría haberse arrogado capacidades que no le correspondían sobre activos y protocolos de la red. El ataque reescribe el registro que dice de quién es cada cosa y confía en que todo lo demás obedezca ese registro corrupto.

El descubridor fue Vahe Karapetyan, CTO y cofundador de Hexens. Su equipo no se quedó en la teoría: construyó una prueba de concepto (PoC, una demostración funcional de que el ataque es viable) y la simuló bajo condiciones reales de red. Según la reconstrucción de CoinDesk, la firma de análisis Grego AI verificó de forma independiente esa prueba de concepto antes de que la cifra de riesgo se hiciera pública.

¿Por qué un servidor de 3.000 dólares pudo demostrar algo tan grave?

Los investigadores no necesitaron un centro de datos ni acceso de información privilegiada. Con un servidor bien dimensionado de unos 3.000 dólares lograron simular cerca de un tercio de la red de validadores de Aptos, y con esa capacidad reprodujeron el ataque con más del 90 % de éxito bajo condiciones reales, sin permisos especiales de ningún tipo.

El contraste es el titular verdadero: 3.000 dólares de coste frente a una exposición teórica de 70.000 millones. Es un ratio de apalancamiento de más de veinte millones a uno entre lo que cuesta atacar y lo que —en el peor escenario— podía tocarse. En seguridad, ese desequilibrio es la señal de alarma más importante: cuando el coste de romper algo es trivial y el valor detrás es enorme, la única barrera que queda es que nadie lo intente antes de que lo arregles.

VariableMagnitud
Coste del equipo del atacante~3.000 $
Fracción de la red de validadores simulada~1/3
Tasa de éxito en la simulación~90 %
TVL nativo de Aptos directamente en riesgo~250.000.000 $
Riesgo sistémico de primer orden estimado~70.000.000.000 $

TVL significa total value locked (valor total bloqueado): la suma de activos depositados en los protocolos de una red. Los 250 millones son el TVL nativo de Aptos que Grego AI —la firma que verificó de forma independiente la prueba de concepto de Hexens— calculó directamente comprometible. Los 70.000 millones son otra cosa —y merecen su propia sección, porque es la cifra que más se malinterpreta—.

¿De dónde sale la cifra de 70.000 millones y qué esconde?

Es exposición teórica agregada, no dinero perdido ni «dinero en riesgo hoy». La estimación de 70.000 millones es de Hexens, y se construye sobre un escenario concreto de contagio, no sobre los fondos que Aptos custodia en su propia red. El razonamiento, según CoinDesk, es este: si el atacante puede secuestrar recursos de autoridad, podría acuñar una cantidad descomunal de USDC fraudulento y luego moverlo entre cadenas usando el CCTP de Circle (Cross-Chain Transfer Protocol, el mecanismo que quema USDC en una red y lo vuelve a acuñar como USDC nativo en otra).

Dicho de otro modo: los 70.000 millones no están «en Aptos». Son el tamaño del daño que podría propagarse hacia fuera si el fallo se usara como palanca para falsificar stablecoins y colarlos, ya limpios, en el resto del ecosistema cross-chain. Es una estimación de contagio multisalto —a través de puentes, stablecoins, rutas de exchange centralizado y flujos de administración— y depende de asumir que todo el camino se recorre sin que nadie lo pare. Aptos Labs, por su parte, calificó la explotabilidad real de este escenario como «extremadamente baja».

Para dimensionar los 70.000 millones conviene compararlos con lo que sí se ha robado de verdad en puentes. Los mayores desastres cross-chain de la historia reciente —el hackeo del puente Ronin en 2022 (unos 625 millones de dólares) o el del propio Wormhole ese mismo año (alrededor de 320 millones)— se mueven en el rango de los cientos de millones. La exposición teórica que Hexens atribuye al fallo de Aptos es dos órdenes de magnitud mayor que cualquiera de ellos. No porque el dinero estuviera «ahí» esperando, sino porque el vector permitía fabricar valor nuevo —USDC fraudulento— en lugar de limitarse a vaciar lo existente. Esa es la diferencia entre robar de una caja fuerte y falsificar el billete.

Las dos cosas son ciertas a la vez, y el análisis honesto es el que no suelta ninguna. La primera: el ataque nunca ocurrió y la ventana se cerró en horas. La segunda: que un fallo local en una cadena pueda escribirse como una cifra de once dígitos que abarca protocolos ajenos revela hasta qué punto la infraestructura cross-chain está encadenada por confianza compartida. Minimizar la cifra sería tan deshonesto como presentarla como dinero robado.

¿Qué protocolos confiaban en Aptos sin que sus usuarios lo supieran?

Este es el ángulo que convierte una vulnerabilidad de una sola cadena en un asunto sistémico. LayerZero, Wormhole y Circle CCTP —tres piezas por las que circula buena parte del valor cross-chain— apoyan parte de su funcionamiento en la validación de estado de Aptos; de ahí que Hexens pudiera escribir 70.000 millones como exposición teórica agregada de un fallo alojado en otra cadena. Cuando confías tu dinero a un puente o a un stablecoin asumes que su seguridad depende de su código, y rara vez piensas que depende también de la integridad de la máquina virtual de una red que quizá ni siquiera usas.

ProtocoloQué haceQué asumía el usuarioExposición al vector
LayerZeroMensajería entre blockchainsLos mensajes se validan de forma independienteCapacidades secuestrables si el estado de Aptos miente
WormholePuente y mensajería cross-chainLos guardianes validan cada transferenciaRecursos de autoridad manipulables desde Aptos
Circle CCTPAcuñación y quema de USDC nativo entre redesCada acuñación está respaldada por una quema realAcuñación potencialmente fraudulenta y movible entre cadenas

El patrón es el mismo que ya vimos en el envenenamiento de registro de Gravity Bridge: no se ataca la caja fuerte, se ataca la fuente de verdad en la que confían todas las cajas fuertes conectadas. La diferencia es de escala. Allí, un puente comunitario. Aquí, el motor de ejecución de una cadena entera de la que penden protocolos con miles de millones custodiados. A fecha de este análisis, no consta que LayerZero, Wormhole ni Circle hayan emitido declaraciones públicas propias sobre su exposición a este vector concreto. Ese silencio también cuenta: a 9 de julio ninguno de los tres ha publicado métricas propias sobre su superficie compartida, y la mayoría de los usuarios de esos puentes desconocía por completo que compartía riesgo con Aptos.

¿Qué respondió Aptos Labs y por qué pasaron casi 130 días hasta saberse?

La respuesta técnica de Aptos fue, por lo que se sabe, rápida y correcta. Un portavoz declaró a CoinDesk: «Aptos Labs fue notificado de un posible problema a través de nuestro programa de recompensas por fallos el 25 de febrero, que ya se estaba triando internamente en ese momento. Se desarrolló, probó y desplegó una corrección en mainnet en cuestión de horas desde el descubrimiento. Ningún usuario ni fondo se vio afectado en ningún momento.» El 27 de febrero, un pull request público en el repositorio documentó el parche y su relación con el programa de recompensas.

La cronología deja ver la parte menos comentada: entre el parche (finales de febrero) y la revelación completa de CoinDesk (4 de julio) pasaron casi 130 días de silencio sobre el alcance real del fallo. Así funciona la divulgación responsable cuando lo que está en juego es infraestructura crítica.

FechaHito
25 feb 2026Hexens reporta el fallo por canales de emergencia; Aptos ya lo triaba internamente
25-26 feb 2026Aptos desarrolla, prueba y despliega el parche en mainnet en horas
27 feb 2026Pull request público documenta la corrección y la vincula al programa de recompensas
4 jul 2026CoinDesk publica la investigación completa: nombra a Aptos, a Hexens y la cifra de 70.000 millones

Sobre la recompensa concreta que Hexens cobró por el hallazgo, no hay cifra pública. Lo que sí está documentado son los techos del programa de recompensas de Aptos: hasta 250.000 dólares por vulnerabilidad crítica en el programa de Aptos Labs y hasta un millón en el de Aptos Foundation, según HackenProof. Ningún medio ha publicado el monto pagado en este caso, y conviene no confundirlo con otras recompensas récord de la misma primavera que corresponden a hallazgos distintos.

¿Qué es la divulgación responsable y por qué el retraso es la norma?

La divulgación responsable (responsible disclosure) es el pacto tácito de la seguridad seria: quien encuentra un fallo lo comunica en privado al equipo afectado, le da tiempo para parchear y solo publica los detalles cuando el arreglo está desplegado. En este caso siguió el guion canónico: Hexens comunicó el fallo en privado el 25 de febrero, Aptos parcheó en horas y los detalles no se hicieron públicos hasta el 4 de julio, con 129 días de margen sobre el parche. Publicar el mismo día habría regalado el mapa con la puerta aún abierta en los nodos sin actualizar.

Por eso esos 130 días, lejos de ser un defecto, son el rasgo más sano del caso Aptos. El parche llegó en horas; la revelación pública, meses después, cuando ya no había nada que un tercero pudiera aprovechar. El programa de recompensas por fallos (bug bounty, el mecanismo por el que un proyecto paga a investigadores externos por reportar vulnerabilidades en vez de explotarlas) hizo exactamente lo que debe hacer: convirtió un hallazgo potencialmente catastrófico en un parche silencioso y una lección pública.

El contrapunto legítimo es que ese silencio también deja a los usuarios de protocolos conectados —LayerZero, Wormhole, Circle— sin saber, durante meses, que estuvieron expuestos. La divulgación responsable protege del atacante, pero traslada al usuario una asimetría de información que solo se cierra cuando alguien, como aquí CoinDesk, reconstruye la historia. Es el compromiso central de este modelo, y no tiene una solución limpia.

¿Qué lecciones deja este caso para quien usa puentes cross-chain?

La primera es de encuadre: un fallo que se parchea sin robo es la mejor noticia posible, solo que mal contada. Que un investigador con un servidor de 3.000 dólares encuentre y demuestre el problema antes que un atacante malicioso es el sistema funcionando. Que lo encontrara alguien con buenas intenciones evitó el único desenlace de verdad malo: que lo encontrara antes alguien dispuesto a explotarlo.

La segunda es más incómoda para el usuario. Cuando depositas fondos en un puente o mantienes un stablecoin, tu riesgo no termina en el código de ese producto: se extiende a todas las cadenas y máquinas virtuales de las que ese producto depende para saber qué es verdad. Esa superficie de confianza compartida rara vez aparece en la interfaz que usas. Como ya explicamos al analizar por qué los hacks apuntan cada vez más a la infraestructura y no a los contratos, el eslabón débil se ha desplazado del candado al sistema que decide qué candado abrir.

La tercera es que el techo de hasta un millón de dólares del programa de Aptos Foundation hizo que a Hexens le saliera más a cuenta reportar el fallo que vender el exploit. Esa aritmética —recompensa legítima frente a botín ilícito— fue la barrera real que separó este caso de convertirse en el mayor incidente cross-chain de la historia. Si quieres entender cómo encaja este episodio en el panorama más amplio de la seguridad on-chain de 2026, nuestro balance de hacks del primer semestre y la guía qué es un puente cross-chain dan el contexto que la mayoría de coberturas de este caso dieron por supuesto.

Fuentes y enlaces: CoinDesk — How ethical hackers with a $3,000 server found a flaw that could've put $70 billion at risk (4-jul-2026) · CryptoBriefing — Aptos fixes critical Move VM vulnerability · SiliconANGLE — Grego AI debuts, record $250,000 AI-found bounty (12-may-2026) · GitHub — aptos-labs/aptos-core (repositorio oficial; pull request del parche, 27-feb-2026) · HackenProof — programa de recompensas de Aptos Foundation (techo de 1 millón de dólares)

Artículos relacionados: Gravity Bridge: 5,4 millones robados sin robar la llave. Por qué los hacks apuntan a la infraestructura, no a los contratos. Qué es un puente cross-chain y por qué son el eslabón débil. Monitoriza tu cartera y las posiciones de tus activos en CleanSky — porque saber en qué cadenas y puentes vive tu dinero es el primer paso para entender a qué riesgos estás realmente expuesto.