Az Aptos Move virtuális gépében (VM) ezen a héten feltmerült egy kritikus sebezhetőség, miután a Hexens biztonsági cég kutatói egy elavult gyorsítótár-hibát tártak fel, amely alááshatná az alapvető típusbiztonsági garanciákat. A hiba típuskonfúziós támadásokat tett lehetővé, amelyek képesek megkerülni a Move-alapú blokkláncokra vonatkozó végrehajtási korlátokat, ezáltal rendszerszintű kockázatot jelentve a DeFi protokollok, stabilcoinok és kereszthidak körében.
Február végén a Hexens a problémát az Aptos Labs hibajuttatási csatornáján keresztül jelentette. A kutatók egy viszonylag kis szervercsoporton szimulálták a kiaknázást, mindössze 3 000 dolláros költséggel, és valós hálózati körülmények között a sikerességi arány meghaladta a 90%-ot. A bizonyító koncepció beigazolta a jogosulatlan eszközök kibocsátásának és az adminisztratív jogkörök manipulálásának lehetőségét belső hozzáférés vagy privilegizált kulcsok nélkül.
Hexens társalapítója, Vahe Karapetyan a hibát Ethereum-stílusú tárolózavar-sebezhetőséghez hasonlónak nevezte, ahol a rosszindulatú kód a más protokollokhoz tartozó szerződés-tárolóba ír.
Grego AI és a Polygon CTO-ja, Mudit Gupta független felülvizsgálatai megerősítették a kiaknázás gyakorlati voltát, és becslések szerint körülbelül 250 millió dollár értékű Aptos-native TVL került közvetlen kitettségbe.
Az Aptos Labs gyorsan reagált: egy vészhelyzeti hadiszoba (war room) ülésezett a SEAL911 keretrendszer alatt, és a javítás a főhálózaton órákon belül élőbe került a tájékoztatás után. Az incidens során nem veszett el semmilyen összeg.
A VM valós világbeli kiaknázási lehetőségének alacsony volta a javítás után hangsúlyozta a robusztus infrastruktúra-védelmek fontosságát, bár az Aptos-vezetők elismerték ezt a fontosságot.
Ez az eset rámutat a proaktív biztonsági auditok és a rétegzett védelem létfontosságú szükségességére a blokklánc rendszerekben. A hálózatok növekedésével az okos szerződések futtató környezete integritása kiemelten fontos a láncon tárolt tőke megőrzéséhez. A protokollcsapatok most átértékelik a bug bounty ösztönzőket, a javítások telepítésének munkafolyamatait és a validátorok frissítési mechanizmusait, hogy minimalizálják a jövőbeni kockázati időablakokat.
Aptoson túl ez a felfedezés újra megnyitja a kereszthidak biztonság és a parser- és VM-sebezhetőségek dominohatásai körüli vitát. Iparági érdekelt felek standardizált tesztelési keretrendszerekre és a mag fejlesztők és független auditorok közötti szélesebb együttműködésre szólítanak fel. Egy kis kutatócsapat által szimulált több milliárd dolláros támadás figyelmeztető jel: a blockchain-infrastruktúrának ugyanakkor kell fejlődnie, mint a fenyegetési képességeknek.
Előre tekintve a figyelem a Move és hasonló nyelvek formális verifikációjának integrálására, a láncon belüli futási idők monitorozásának fejlesztésére és gyors reagálási protokollok kiépítésére irányul. A sebezhetés tanulságai meghatározzák a biztonsági gyakorlatokat a feltörekvő Layer-1 ökoszisztémákban, új audit-vezérelt fejlesztési korszakot és a folyamatos kockázatértékelés eljövetelét.
Hozzászólások (0)