Kritická zranitelnost ve virtuálním stroji Aptos Move (VM) vyšla tento týden najevo poté, co výzkumníci ze bezpečnostní firmy Hexens odhalili chybu zastaralé cache, která by mohla podkopat hlavní záruky typové bezpečnosti. Tato chyba umožnila útoky založené na záměně typů, které by mohly obejít omezení exekuce na blockchainech založených na Move, čímž by vzniklo systémové riziko napříč protokoly DeFi, stablecoiny a mosty mezi řetězci.
Na konci února Hexens nahlásili problém prostřednictvím bug bounty kanálu Aptos Labs. Výzkumníci simulovali zneužití na skromném serverovém clusteru, který stál pouhých 3 000 dolarů, a dosáhli úspěšnosti nad 90 % za realistických podmínek sítě. Důkaz koncepce ukázal potenciál emitovat neoprávněná aktiva a manipulovat s administrativními rolemi bez interního přístupu nebo privilegovaných klíčů.
Spoluzakladatel Hexens Vahe Karapetyan popsal chybu jako analogii k zranitelnosti storage corruption v Ethereum, kdy škodlivý kód zapisuje do úložiště smluv patřících jiným protokolům. Nezávislé posudky od Grego AI a CTO Polygonu Mudit Gupta potvrdily proveditelnost exploitu a odhadly, že zhruba 250 milionů dolarů v Aptos-native TVL bylo vystaveno přímému riziku. Včetně vrstev pro cross-chain komunikaci a mostů se celkové systémové riziko přiblížilo k 70 miliardám dolarů.
Aptos Labs rychle reagovali: nouzové operační centrum bylo svoláno podle rámce SEAL911 a oprava byla nasazena na hlavní síti během několika hodin od oznámení. Žádné prostředky nebyly při incidentu ztraceny. Výkonný tým Aptos zdůraznil nízkou reálnou zneužitelnost VM po záplatě, i když uznali důležitost robustních infrastrukturních ochran.
Tento případ zdůrazňuje klíčovou potřebu proaktivních bezpečnostních auditů a vrstevnaté obrany v blockchainových systémech. Jak sítě rostou, integrita běhového prostředí chytrých kontraktů je zásadní pro zachování on-chain kapitálu. Týmy protokolů nyní znovu posuzují incentivní programy bug bounty, postupy nasazování oprav a mechanismy upgradu validátorů, aby se minimalizovala budoucí riziková okna.
Kromě Aptos tato objevená skutečnost znovu vyvolává debatu o zabezpečení napříč řetězci a o potenciálních domino efektech zranitelností parserů a VM. Zúčastněné strany v průmyslu volají po standardizovaných testovacích rámcích a větší spolupráci mezi jádrovými vývojáři a nezávislými auditory. Schopnost malého výzkumného týmu simulovat útok v hodnotě několika miliard dolarů slouží jako varování: infrastruktura blockchainu se musí vyvíjet stejnou rychlostí jako schopnosti hrozeb.
Do budoucna se zaměříme na integraci formální verifikace pro Move a podobné jazyky, zlepšení monitorování běhu na řetězci a zavedení rychlých protokolů reakce. Poučené z této zranitelnosti formují bezpečnostní praxi napříč vznikajícími ekosystémy vrstvy-1, čímž pohánějí novou éru vývoje řízeného auditem a průběžného posuzování rizik.
Komentáře (0)