Sebuah kerentanan kritis pada mesin virtual Aptos Move (VM) terungkap minggu ini setelah para peneliti dari perusahaan keamanan Hexens mengungkap bug cache usang yang dapat merusak jaminan keamanan tipe inti. Kelemahan ini memungkinkan serangan kebingungan tipe yang dapat melewati batasan eksekusi pada blockchain berbasis Move, menimbulkan risiko sistemik di seluruh protokol DeFi, stablecoin, dan jembatan antar-rantai.
Pada akhir Februari, Hexens melaporkan masalah tersebut melalui saluran bug bounty Aptos Labs. Para peneliti mensimulasikan eksploitasi pada sebuah klaster server sederhana yang biayanya hanya sekitar $3.000, dengan tingkat keberhasilan lebih dari 90% dalam kondisi jaringan yang realistis. Bukti konsep ini menunjukkan potensi untuk menerbitkan aset tidak sah dan memanipul peran administratif tanpa akses orang dalam maupun kunci berwenang.
Vahe Karapetyan, pendiri Hexens, menggambarkan bug ini mirip dengan kerentanan korupsi penyimpanan bergaya Ethereum, di mana kode berbahaya menulis ke penyimpanan kontrak milik protokol lain. Ulasan independen oleh Grego AI dan CTO Polygon Mudit Gupta mengonfirmasi kefektifan eksploitasi tersebut, memperkirakan bahwa sekitar $250 juta dari TVL native Aptos menghadapi paparan langsung. Termasuk lapisan lintas-chain dan jembatan, total risiko sistemik mendekati $70 miliar.
Aptos Labs merespons dengan cepat: sebuah ruang perang darurat dibentuk di bawah kerangka SEAL911, dan perbaikan diluncurkan di mainnet dalam beberapa jam setelah notifikasi. Tidak ada dana yang hilang dalam insiden ini. Para eksekutif Aptos menekankan bahwa eksploitabilitas nyata VM pasca-patch rendah, meskipun mereka mengakui pentingnya perlindungan infrastruktur yang kuat.
Peristiwa ini menekankan kebutuhan kritis akan audit keamanan proaktif dan pertahanan berlapis dalam sistem blockchain. Seiring jaringan membesar, integritas runtime kontrak pintar menjadi sangat penting untuk menjaga modal di on-chain. Tim protokol kini meninjau ulang insentif bug bounty, alur kerja penyebaran patch, dan mekanisme peningkatan validator untuk meminimalkan jendela risiko di masa mendatang.
Di luar Aptos, temuan ini membangkitkan kembali perdebatan mengenai keamanan lintas-chain dan potensi efek domino dari kerentanan parser dan VM. Para pemangku kepentingan industri mendesak adanya kerangka uji standar dan peningkatan kolaborasi antara pengembang inti dan auditor independen. Kemampuan tim riset kecil untuk mensimulasikan serangan bernilai miliaran dolar berfungsi sebagai peringatan: infrastruktur blockchain harus berevolusi secepat kemampuan ancaman.
Memandang ke depan, fokusnya beralih pada mengintegrasikan verifikasi formal untuk Move dan bahasa serupa, meningkatkan pemantauan runtime di on-chain, dan membangun protokol respons cepat. Pelajaran dari kerentanan ini akan membentuk praktik keamanan di seluruh ekosistem layer-1 yang sedang berkembang, mendorong era baru pengembangan yang didorong audit dan penilaian risiko berkelanjutan.
Komentar (0)