Krytyczna luka w wirtualnej maszynie Aptos Move (VM) ujawniła się w tym tygodniu po tym, jak badacze z firmy bezpieczeństwa Hexens ujawnili błąd przestarzałej pamięci podręcznej, który mógł podważyć podstawowe gwarancje bezpieczeństwa typów. Luka ta umożliwiała ataki konfuzji typów, które mogły obejść ograniczenia wykonania na blockchainach opartych na Move, tworząc ryzyko systemowe dla protokołów DeFi, stablecoinów i mostów międzyłańcuchowych.
Pod koniec lutego Hexens zgłosił problem za pośrednictwem kanału nagród za błędy Aptos Labs. Badacze zasymulowali ten eksploat na skromnym klastrze serwerów, który kosztował zaledwie 3 000 USD, osiągając wskaźnik powodzenia powyżej 90% w realistycznych warunkach sieciowych. Dowód koncepcji pokazał potencjał do mintowania nieautoryzowanych aktywów i manipulowania rolami administracyjnymi bez dostępu insidera ani uprzywilejowanych kluczy.
Współzałożyciel Hexens, Vahe Karapetyan, opisał ten błąd jako analogiczny do podatności na uszkodzenie pamięci w stylu Ethereum, w której złośliwy kod zapisuje dane w pamięci kontraktów należących do innych protokołów. Niezależne przeglądy przeprowadzone przez Grego AI i CTO Polygon, Mudit Gupta, potwierdziły praktyczność eksploatacji, szacując, że około 250 milionów dolarów wartości TVL natywnej dla Aptos było bezpośrednio narażonych. Włączając warstwy międzyłańcuchowe i mosty, całkowite ryzyko systemowe sięgało około 70 miliardów dolarów.
Aptos Labs zareagował szybko: zwołano awaryjną salę operacyjną w ramach SEAL911, a naprawa trafiła na mainnet w ciągu kilku godzin od powiadomienia. Żadne środki nie zostały utracone w incydencie. Przedstawiciele Aptos podkreślili niską realną podatność VM na ataki po łatce, chociaż przyznali, że ważne jest utrzymanie solidnych zabezpieczeń infrastruktury.
Ta epizoda podkreśla krytyczną potrzebę proaktywnych audytów bezpieczeństwa i warstwowych zabezpieczeń w systemach blockchain. W miarę skalowania sieci integralność środowisk wykonawczych smart kontraktów staje się kluczowa dla utrzymania kapitału na łańcuchu. Zespoły protokołów ponownie oceniają zachęty w programach nagród za błędy, procesy wdrażania poprawek i mechanizmy aktualizacji walidatorów, aby zminimalizować przyszłe okna ryzyka.
Poza Aptos, odkrycie ponownie roznieca debatę na temat bezpieczeństwa międzyłańcuchowego i potencjalnych efektów domina luk parsera i VM. Interesariusze branży domagają się standaryzowanych ram testowych i większej współpracy między programistami rdzeniowymi a niezależnymi audytorami. Zdolność małego zespołu badawczego do zasymulowania ataku o wartości miliardów dolarów stanowi ostrzeżenie: infrastruktura blockchain musi ewoluować w tym samym tempie co możliwości zagrożeń.
Patrząc w przyszłość, nacisk skieruje się na integrację formalnej weryfikacji dla Move i podobnych języków, ulepszenie monitoringu działania na łańcuchu i ustanowienie szybkich protokołów reagowania. Lekcje z tej podatności ukształtują praktyki bezpieczeństwa w rozwijających się ekosystemach warstwy-1, napędzając nową erę rozwoju opartego na audycie i stałej ocenie ryzyka.
Komentarze (0)