Sono bastati un server da 3.000 dollari e un buon weekend per minacciare una blockchain da 70 miliardi di dollari. È la lezione scomoda che arriva da una divulgazione resa pubblica il 4 luglio, e riguarda molto più di un singolo progetto.
La buona notizia, va detta subito, è che nessun fondo è andato perso. Quella cattiva è quanto poco sarebbe servito perché finisse diversamente.
Cosa è successo
La società di sicurezza Hexens, guidata dal co-fondatore e CTO Vahe Karapetyan, ha scoperto un difetto critico nella Move VM di Aptos, il motore che esegue ogni smart contract della rete. Si tratta di un cosiddetto stale-cache bug che genera una confusione di tipo: in parole semplici, il sistema poteva essere ingannato e indotto a trattare una risorsa on-chain come se fosse tutt'altro.
Il pericolo sta in cosa questo consente. Nel linguaggio Move, i permessi del protocollo, come il diritto di coniare una stablecoin, controllare un bridge o amministrare un mercato di prestito, sono conservati come risorse on-chain. Manipolarle significa impossessarsi di quelle autorità. Il difetto è stato segnalato il 25 febbraio tramite il programma bug bounty, corretto in poche ore e reso pubblico solo il 4 luglio. Nei test, l'attacco è riuscito oltre il 90% delle volte con un setup da 3.000 dollari, senza bisogno di accessi privilegiati.
Perché conta: cosa poteva accadere
Il rischio non riguardava i token nei portafogli, ma le tubature che collegano le reti tra loro. La società Grego AI, che ha verificato in modo indipendente la prova di concetto, ha stimato circa 250 milioni di dollari di valore direttamente a rischio sulla sola Aptos. Ma attraverso i bridge e i sistemi cross-chain come LayerZero, Wormhole e il protocollo di USDC, la stima del rischio sistemico di primo ordine sale fino a 70 miliardi.
È il punto che ogni utente dovrebbe interiorizzare: la compromissione di una blockchain raramente si ferma alla blockchain colpita. Il valore accessibile tramite i ponti verso altre reti trasforma un problema locale in una potenziale crisi di settore.
L'asimmetria che dovrebbe far riflettere
Fonte: Hexens, Grego AI, CoinDesk, luglio 2026
- Costo dell'attacco simulato: circa 3.000 $
- Taglia massima del bug bounty di Aptos: 1 milione $
- Rischio sistemico stimato: fino a 70 miliardi $
Uno squilibrio che spiega perché la sicurezza dell'intero settore dipende dalla scelta etica di pochi ricercatori.
Il mito del "sicuro per design"
C'è un'ironia che dà da pensare. Il linguaggio Move è nato dal progetto Diem di Meta proprio con la sicurezza come principio fondante, e conserva i permessi come risorse per renderli più difficili da manomettere. Eppure ha avuto un difetto critico nel suo motore di esecuzione.
La lezione per chi costruisce è netta: un buco a livello di VM sta sotto la sicurezza delle singole applicazioni. Puoi scrivere lo smart contract più curato del mondo, ma se il livello di base che lo esegue è vulnerabile, quella cura non ti protegge. Nessuna architettura, per quanto moderna, è immune.
La lezione scomoda: l'economia della sicurezza è rotta
Ma il punto più profondo è economico. Una superficie di rischio da decine di miliardi era presidiata da una taglia massima di un milione di dollari. Un ricercatore che avrebbe potuto vendere quella vulnerabilità sul mercato nero per una cifra ben superiore ha scelto di mandare una email invece di svuotare i portafogli. Gran parte della sicurezza di questo settore poggia, oggi, su questa scelta.
Aptos contesta la gravità pratica, parlando di exploitability "estremamente bassa" in condizioni reali. Ma il CTO di Polygon, Mudit Gupta, ha eseguito l'exploit in modo indipendente e ha confermato che funzionava. Quando anche una rete velocissima e ben finanziata si scopre così fragile, la narrazione della blockchain "inviolabile" va archiviata. E il metro di giudizio cambia: dal vantarsi di quante transazioni al secondo si processano, si passa alla domanda opposta, quanto in fretta una rete sa fermarsi da sola, con interruttori automatici che congelano i trasferimenti nell'istante in cui qualcosa non torna.
Nessun fondo è andato perso, e va celebrato. Ma il merito è di un bug bounty e di una patch rapida, non della fortuna nel momento dell'attacco. La prossima volta che una rete si definisce inviolabile, vale la pena ricordare quanto era sottile la linea, e guardare non solo all'app, ma alla sicurezza e agli incentivi del suo livello di base. I dettagli restano verificabili sui siti ufficiali di Aptos Foundation e di Hexens.
