Gepanzerte Blockchain-Festungstür mit winzigem Riss und ethischem Hacker, der eine Sicherheitslücke in der Move VM von…
  • Startseite
  • Hacken
  • Aptos-Sicherheitslücke: 3.000-Dollar-Server bedrohte 70 Milliarden
Von Hamza Ahmed Profilbild Hamza Ahmed
3 min read

Aptos-Sicherheitslücke: 3.000-Dollar-Server bedrohte 70 Milliarden

Ein 3.000-Dollar-Server genügte, um eine 70-Milliarden-Blockchain zu gefährden. Wie ethische Hacker eine kritische Lücke in der Move VM von Aptos fanden und…

Ein Server für 3.000 Dollar und ein langer Wochenendtest haben gereicht, um eine Blockchain mit einem Gesamtwert von 70 Milliarden Dollar in Gefahr zu bringen. Das ist die unbequeme Lehre, die aus einer am 4. Juli veröffentlichten Sicherheitsmeldung folgt, und sie betrifft weit mehr als ein einzelnes Projekt.

Die gute Nachricht ist: Kein einziger Dollar ging verloren. Die schlechte Nachricht ist, wie wenig gefehlt hätte, damit das Ende anders aussieht.

Was ist passiert

Das Sicherheitsunternehmen Hexens, geleitet von Mitgründer und CTO Vahe Karapetyan, entdeckte einen kritischen Fehler in der Move VM von Aptos, dem Ausführungsmotor für jeden Smart Contract im Netzwerk. Es handelt sich um einen sogenannten Stale-Cache-Bug, der eine Typverwechslung erzeugt: Konkret ließ sich das System austricksen und dazu bringen, eine On-Chain-Ressource als etwas völlig anderes zu behandeln.

Die eigentliche Gefahr liegt darin, was dieser Fehler ermöglicht hätte. Im Move-Protokoll werden Berechtigungen, etwa das Recht, eine Stablecoin zu prägen, eine Bridge zu kontrollieren oder einen Kreditmarkt zu verwalten, als On-Chain-Ressourcen gespeichert. Wer sie manipuliert, übernimmt diese Befugnisse vollständig. Der Fehler wurde am 25. Februar über das Bug-Bounty-Programm gemeldet, innerhalb weniger Stunden behoben und erst am 4. Juli öffentlich gemacht. In Tests gelang der Angriff in über 90 Prozent der Fälle mit einem Setup, das laut Hexens rund 3.000 Dollar kostet, ohne dass privilegierte Zugänge erforderlich waren.

Warum das wichtig ist: Was hätte passieren können

Das Risiko betraf nicht die Token in den Wallets der Nutzer, sondern die Infrastruktur, die verschiedene Netzwerke miteinander verbindet. Das Unternehmen Grego AI, das den Proof of Concept unabhängig verifizierte, schätzte laut CoinDesk rund 250 Millionen Dollar an direkt gefährdetem Wert allein auf Aptos. Über Bridges und Cross-Chain-Systeme wie LayerZero, Wormhole und das USDC-Protokoll stieg das geschätzte systemische Erstordnungsrisiko laut Grego AI auf bis zu 70 Milliarden Dollar.

Das ist der Punkt, den sich jeder Nutzer einprägen sollte: Die Kompromittierung einer Blockchain bleibt selten auf die betroffene Blockchain beschränkt. Der über Bridges zugängliche Wert in anderen Netzwerken verwandelt ein lokales Problem in eine potenzielle Sektorkrise.

Die Asymmetrie, die nachdenklich machen sollte

Quelle: Hexens, Grego AI, CoinDesk, Juli 2026

  • Kosten des simulierten Angriffs: ca. 3.000 $
  • Maximale Bug-Bounty-Prämie von Aptos: 1 Million $
  • Geschätztes systemisches Risiko: bis zu 70 Milliarden $

Ein Ungleichgewicht, das erklärt, warum die Sicherheit der gesamten Branche von der ethischen Entscheidung weniger Forscher abhängt.

Der Mythos des „Sicher-by-Design“

Es gibt eine Ironie, die zum Nachdenken zwingt. Die Move-Sprache entstand aus Metas Diem-Projekt, wobei Sicherheit von Anfang an als Grundprinzip galt. Berechtigungen werden als Ressourcen gespeichert, um Manipulationen zu erschweren. Trotzdem steckte ein kritischer Fehler im Ausführungsmotor.

Die Lehre für Entwickler ist eindeutig: Ein Fehler auf VM-Ebene liegt unterhalb der Sicherheitsebene einzelner Anwendungen. Man kann den sorgfältigsten Smart Contract der Welt schreiben, aber wenn die Basisschicht, die ihn ausführt, verwundbar ist, nützt diese Sorgfalt nichts. Keine Architektur, egal wie modern, ist immun dagegen.

Die unbequeme Lehre: Die Sicherheitsökonomie ist defekt

Der tiefste Punkt ist jedoch ein wirtschaftlicher. Eine Risikooberfläche von mehreren Dutzend Milliarden Dollar wurde durch eine maximale Prämie von einer Million Dollar abgesichert. Ein Forscher, der diese Schwachstelle auf dem Schwarzmarkt für ein Vielfaches hätte verkaufen können, entschied sich stattdessen für eine E-Mail an das Aptos-Team. Ein Großteil der Sicherheit in diesem Sektor beruht heute auf genau dieser Entscheidung.

Aptos selbst bestreitet den praktischen Schweregrad und spricht von „extrem niedriger“ Ausnutzbarkeit unter realen Bedingungen. Mudit Gupta, CTO von Polygon, führte den Exploit jedoch unabhängig durch und bestätigte, dass er funktionierte. Wenn selbst ein schnelles, gut finanziertes Netzwerk sich als so fragil erweist, muss die Erzählung von der „unknackbaren“ Blockchain endgültig ad acta gelegt werden. Der Maßstab verschiebt sich: Nicht mehr die Anzahl der verarbeiteten Transaktionen pro Sekunde zählt, sondern die Frage, wie schnell ein Netzwerk sich selbst stoppen kann, mit automatischen Schaltern, die Transfers im Bruchteil einer Sekunde einfrieren, wenn etwas nicht stimmt.

Kein Geld ging verloren, und das verdient Anerkennung. Der Verdienst liegt jedoch beim Bug-Bounty-Programm und einem raschen Patch, nicht beim Glück zum richtigen Zeitpunkt. Beim nächsten Mal, wenn ein Netzwerk sich als unknackbar bezeichnet, lohnt es sich, daran zu erinnern, wie dünn die Linie war. Der Blick sollte dabei nicht nur der Anwendung gelten, sondern der Sicherheit und den Anreizen der Basisschicht. Alle Details sind auf den offiziellen Seiten der Aptos Foundation und von Hexens nachprüfbar.

Von Hamza Ahmed Profilbild Hamza Ahmed
Aktualisiert am
Hacken DeFi
Consent Preferences