Kritična ranjivost u Aptos Move virtuelnoj mašini (VM) pojavila se ove nedelje nakon što su istraživači iz sigurnosne firme Hexens otkrili grešku zastarelog keša koja bi mogla potkopati osnovne garancije bezbednosti tipova. Ova ranjivost omogućila je napade konfuzije tipova koji bi mogli zaobići ograničenja izvršavanja na blokčejnovima zasnovanim na Move-u, čime se javlja sistemski rizik po DeFi protokole, stabilne valute i mostove između lanaca.
Krajem februara, Hexens je prijavio problem putem bug bounty kanala Aptos Labs-a. Istraživači su simulirali iskorišavanje na skromnom serverskom klasteru koji je koštao svega 3.000 USD, postižući uspešnost iznad 90% u realnim mrežnim uslovima. Dokaz koncepta pokazao je potencijal za mintovanje neovlašćenih sredstava i manipulaciju administrativnim ulogama bez insiders pristupa ili privilegovanih ključeva.
Suoosnivač Hexensa Vahe Karapetyan opisao je grešku kao analogiju Ethereum-stil skladišnog oštećenja, gde zlonamerni kod upisuje u skladište ugovora koje pripada drugim protokolima. Nezavisne recenzije Grego AI-a i CTO Polygon-a Mudit Gupta potvrdile su praktičnost iskorišćavanja, procenjujući da oko 250 miliona USD TVL na Aptosu direktno izloženo. Uključujući cross-chain i bridge slojeve, ukupni sistemski rizik približio se 70 milijardi USD.
Aptos Labs je reagovao brzo: sazvana je hitna operativna soba pod okvirom SEAL911, a zakrpa je stavljena na mainnet u roku od nekoliko sati od obaveštenja. Nijedan novac nije izgubljen u incidentu. Izvršni zvaničnici Aptosa naglasili su da je VM posle zakrpe manje izložen stvarnoj eksploataciji, iako su priznali značaj robusne infrastrukturne zaštite.
Ova epizoda naglašava ključnu potrebu za proaktivnim sigurnosnim auditima i slojevitim odbrambenim mehanizmima u blockchain sistemima. Kako mreže rastu, integritet runtima pametnih ugovora postaje ključan za očuvanje on-chain kapitala. Timovi protokola sada preispituju nagrade za pronalaženje bagova, tokove raspodele zakrpa i mehanizme nadogradnje validatora kako bi se minimizirali budući rizik prozori.
Što se Aptosa tiče, otkriće ponovo pokreće debatu o cross-chain sigurnosti i potencijalnim domino efektima parser i VM ranjivosti. Industrijski akteri pozivaju na standardizovane test okvirе i veću saradnju između core developera i nezavisnih revizora. Sposobnost malog istraživačkog tima da simulira multi-miliardni napad služi kao upozorenje: blockchain infrastruktura mora evoluirati istom dinamikom kao i pretnje.
Gledajući u budućnost, fokus se usmerava na integraciju formalne verifikacije za Move i slične jezike, unapređenje nadzora runtime-a na lancu i uspostavljanje protokola za brz odziv. Pouke iz ove ranjivosti oblikovaće bezbednosne prakse širom novih layer-1 ekosistema, pokrećući novu eru razvoja vođenog revizijom i kontinuiranom procenom rizika.
Коментари (0)