Der CTO des Sicherheitsunternehmens Hexens, Vahe Karapetyan, entdeckte am 5. Juli im Move Virtual Machine der Aptos-Blockchain eine Stale-Cache-Schwachstelle, die zu Type Confusion führt; diese Schwachstelle kann die Software dazu verleiten, die Typsicherheitsgarantien der Move-Sprache zu umgehen. Hexens errichtete eine Simulationsumgebung mit einem Server im Wert von rund 3.000 US-Dollar und erreichte bei 20 Tests eine Angriffserfolgsrate von nahezu 90%.
Laut Hexens‘ technischem Bericht baute das Team von Karapetyan zur Überprüfung der Machbarkeit der Schwachstelle eine Simulationsumgebung auf, die nahe an die Größe des Hauptnetzes herankam: über 30 Validatorknoten, eine dem Hauptnetz nahe Staking-Verteilung, echter Transaktionsverkehr und intensive Ausführungskonkurrenz, mit Aufbaukosten von rund 3.000 US-Dollar; ein realer Angriff wäre sogar noch günstiger und würde keine Validator-Berechtigungen, internes Wissen oder privilegierten Zugriff erfordern.
Hexens testete etwa 20 Mal in der simulierten Umgebung, mit 17-18 Erfolgen, die Erfolgsrate nahe 90%; selbst wenn es gelegentlich 2-3 Fehlschläge gab, würde das Netzwerk nicht zum Stillstand kommen, und der Angreifer konnte geduldig auf das nächste Zeitfenster warten.
Laut offiziellen Angaben von Aptos und Berichten von CoinDesk meldete Hexens die Schwachstelle am 25. Februar 2026 über das Aptos Bug-Bounty-Programm; Aptos erklärte, dass das Team zum Zeitpunkt der Meldung bereits intern an dem Problem arbeite. Das freiwillige Notfallteam der Kryptobranche, SEAL911, richtete noch am selben Tag einen Einsatzraum ein; am Nachmittag desselben Tages benachrichtigte Aptos die betroffenen Anbieter und 4 wichtige Downstream-Projekte und fügte einen lokal ausführbaren Proof-of-Concept (PoC) bei.
Aptos teilte CoinDesk mit: „Der Patch wurde innerhalb von Stunden nach der Entdeckung entwickelt, getestet und im Hauptnetz bereitgestellt, während des gesamten Prozesses wurden keine Benutzer oder Gelder beeinträchtigt.“ Der öffentliche Patch-Pull-Request wurde am 27. Februar eingereicht, aber private Validatoren hatten den Patch bereits vor dem öffentlichen Commit bereitgestellt.
Laut CoinDesk-Berichten gab es eine deutliche Diskrepanz zwischen den Bewertungen von Aptos und Hexens: Aptos erklärte, dass die Analyse ergebe, dass die Schwachstelle unter realen Bedingungen nur sehr schwer ausnutzbar sei, während Hexens entgegnete, bisher keine evidenzbasierte technische Widerlegung erhalten zu haben.
Polygon CTO Mudit Gupta sagte nach unabhängiger Prüfung des PoC: „Er funktioniert wie behauptet, die Schwachstelle ist plausibel … Es müssen einige Bedingungen erfüllt sein, aber es scheint, dass sie diese im Hauptnetz tatsächlich erreicht haben.“
Nach der unabhängigen Verifizierung des PoC durch Grego AI erklärte CEO Justus Hanna unverblümt: „Wenn ein böswilliger Akteur diese Schwachstelle in die Hände bekäme, könnte er jede beliebige TVL (Total Value Locked) nehmen, die er möchte.“
Laut den Bewertungen von Hexens und Grego AI lässt sich das Risiko dieser Schwachstelle in zwei Ebenen unterteilen:
Bei realen Tests übernahm Hexens vorübergehend eine Rolle ähnlich dem „Master Minter“, handelte über legitime Verwaltungspfade und hielt vor der tatsächlichen Münzprägung inne. Dies reichte jedoch aus, um zu beweisen, dass solche Rollen in ein vollständiges Bedrohungsmodell aufgenommen werden müssen.
Laut Hexens‘ technischem Bericht handelt es sich um einen „Stale-Cache-Bug“, der zu „Type Confusion“ führt; die Software wird dazu verleitet, eine On-Chain-Ressource fälschlicherweise für eine andere zu halten, wodurch die Typsicherheitsgarantien der Move-Sprache umgangen werden. Dies ist gleichbedeutend damit, dass Code, der vom Angreifer kontrolliert wird, direkt in den Speicher anderer Verträge schreiben kann.
Laut offizieller Erklärung von Aptos wurde die Schwachstelle innerhalb von Stunden nach der Meldung am 25. Februar 2026 gepatcht, getestet und im Hauptnetz bereitgestellt, private Validatoren waren noch früher fertig; der öffentliche PR wurde am 27. Februar eingereicht; Aptos erklärte, dass während des gesamten Prozesses weder Benutzer noch Gelder betroffen waren.
Laut Hexens‘ Bewertung umfassen die 70 Milliarden US-Dollar Cross-Chain-Brücken, Cross-Chain-Nachrichtensysteme, Stablecoin-Emissionen und über zentralisierte Börsen zugängliche Vermögenswerte; die Voraussetzung ist, dass der Angreifer massiv USDC erzeugt und über Circle CCTP auf andere Chains verschiebt. Circle erklärte, dass es ohne rechtliche Ermächtigung keine Vermögenswerte einfriert, sodass die Wahrscheinlichkeit einer vollständigen Realisierung des Risikos begrenzt ist, wenn alle Parteien rechtzeitig eingreifen.
Related News
Hinkal DeFi erleidet Verlust von 820.000 US-Dollar, 410 ETH in Geldwäsche verwickelt.
Bekannter Trader beobachtet: Strategy-Aktie soll 491 Bitcoin verkauft haben – Echtheit noch unbestätigt.
Drift Protocol wird zu Velocity DEX umbenannt, Neustartplan nach Diebstahl von 280 Millionen US-Dollar
Krypto-Hack-Verluste fielen im Juni auf 75,9 Millionen US-Dollar, Humanity-Exploit führt