Satu kerentanan kritikal dalam mesin maya Aptos Move (VM) muncul minggu ini setelah penyelidik dari firma keselamatan Hexens mendedahkan pepijat cache lama yang boleh merosakkan jaminan keselamatan jenis utama. Kecacatan itu membolehkan serangan kekeliruan jenis yang boleh mengatasi sekatan pelaksanaan pada blockchain berasaskan Move, membentuk risiko sistemik merentasi protokol DeFi, mata wang stabil, dan jambatan silang-rantai.
Pada akhir Februari, Hexens melaporkan isu ini melalui saluran ganjaran pepijat Aptos Labs. Penyelidik mensimulasikan eksploit itu pada satu kluster pelayan yang sederhana yang menelan kos hanya $3,000, mencapai kadar kejayaan melebihi 90% di bawah keadaan rangkaian yang realistik. Bukti konsep itu menunjukkan potensi untuk mencipta aset tidak sah dan mengubah peranan pentadbir tanpa akses dalaman atau kunci keistimewaan.
Pengasas bersama Hexens, Vahe Karapetyan, menggambarkan pepijat itu sebagai analog kepada kerentanan kerosakan storan gaya Ethereum, di mana kod berniat jahat menulis ke dalam storan kontrak yang dimiliki oleh protokol lain. Ulasan bebas oleh Grego AI dan CTO Polygon, Mudit Gupta, mengesahkan keberkesanan eksploit itu, menganggarkan bahawa kira-kira $250 juta TVL asli Aptos terdedah secara langsung. Termasuk lapisan rentas-rantai dan jambatan, jumlah risiko sistemik menghampiri $70 bilion.
Aptos Labs bertindak pantas: sebuah bilik perang kecemasan telah diadakan di bawah rangka kerja SEAL911, dan pembetulan itu telah dilaksanakan di mainnet dalam beberapa jam selepas pemberitahuan. Tiada dana hilang dalam kejadian itu. Eksekutif Aptos menekankan tahap eksploitasi VM yang rendah selepas tampalan, walaupun mereka mengakui kepentingan langkah perlindungan infrastruktur yang kukuh.
Insiden ini menekankan keperluan kritikal untuk audit keselamatan yang proaktif dan pertahanan berlapis dalam sistem blockchain. Ketika rangkaian berkembang, integriti runtime kontrak pintar menjadi penting untuk memelihara modal di atas rantai. Pasukan protokol kini menilai semula insentif ganjaran pepijat, aliran kerja penyebaran tampalan, dan mekanisme peningkatan validator untuk meminimumkan jendela risiko pada masa hadapan.
Sekaligus Aptos, penemuan ini membangkitkan semula perdebatan mengenai keselamatan rentas rantai dan potensi kesan domino daripada kelemahan parser dan VM. Pemegang kepentingan industri menuntut rangka kerja ujian yang seragam dan lebih banyak kerjasama antara pembangun teras dan juruaudit bebas. Kebolehan bagi satu pasukan penyelidikan kecil untuk mensimulasikan serangan bernilai berbilion dolar berfungsi sebagai amaran: infrastruktur blockchain mesti berkembang selari dengan keupayaan ancaman.
Melihat ke hadapan, fokus beralih kepada penyepaduan verifikasi formal untuk Move dan bahasa serupa, meningkatkan pemantauan runtime di atas rantai, dan mewujudkan protokol respons pantas. Pelajaran daripada kerentanan ini akan membentuk amalan keselamatan merentas ekosistem lapisan-1 yang sedang berkembang, mendorong era baharu pembangunan berasaskan audit dan penilaian risiko berterusan.
Komen (0)