En kritisk sÄrbarhet i Aptos Move-VM uppdagades den hÀr veckan efter att sÀkerhetsföretaget Hexens avslöjade en stale-cache-fel som kunde ha undergrÀvt kÀrnans typsÀkerhetsgarantier. Felet möjliggjorde typförvÀxlingsattacker som kunde kringgÄ exekveringsbegrÀnsningar pÄ Move-baserade blockkedjor, och utgör dÀrmed en systemisk risk över DeFi-protokoll, stablecoins och korskedjebryggor.
I slutet av februari rapporterade Hexens problemet genom Aptos Labs bug bounty-kanal. Forskare simulerade utnyttjandet pÄ ett mÄttligt serverkluster som kostade endast 3 000 dollar, och uppnÄdde en framgÄngsgrad över 90 % under realistiska nÀtverksförhÄllanden. Beviset pÄ konceptet visade potentialen att mynta otillÄtna tillgÄngar och manipulera administrativa roller utan insider-Ätkomst eller privilegierade nycklar.
Hexens medgrundare Vahe Karapetyan beskrev felet som liknande en Ethereum-stil lagringskorruptionssÄrbarhet, dÀr skadlig kod skriver till kontraktets lagring som tillhör andra protokoll. Oberoende granskningar av Grego AI och Polygon-CTO Mudit Gupta bekrÀftade utnyttjandets genomförbarhet, och uppskattade att ungefÀr 250 miljoner dollar i Aptos-nativ TVL stod inför direkt exponering. Inkluderat korskedje- och brygglager nÀrmade sig den totala systemrisken 70 miljarder dollar.
Aptos Labs svarade snabbt: ett akut krisrum sammankallades under SEAL911-ramverket, och en fix lanserades pÄ mainnet inom timmar efter meddelandet. Inga medel förlorades i hÀndelsen. Aptos-chefer betonade VM:s lÄga verkliga exploaterbarhet efter patchen, Àven om de erkÀnde vikten av robusta infrastruktur-skydd.
Incidenten understryker det kritiska behovet av proaktiva sÀkerhetsrevisioner och flerskiktade försvar i blockkedjesystem. NÀr nÀtverken vÀxer blir integriteten hos smarta kontraktskörningar avgörande för att bevara on-chain-kapital. Protokollteam omvÀrderar nu incitamenten för bug bounty, patch-utrullningsarbetsflöden och validatoruppgraderingsmekanismer för att minimera framtida riskfönster.
Förutom Aptos vÀcker upptÀckten debatten om korskedjesÀkerhet och de potentiella dominoeffekterna av parser- och VM-sÄrbarheter. Branschaktörer efterlyser standardiserade testningsramverk och större samarbete mellan kÀrnutvecklare och oberoende granskare. FörmÄgan hos ett litet forskningslag att simulera en attack vÀrd flera miljarder dollar fungerar som en varning: blockchain-infrastrukturen mÄste utvecklas i samma takt som hotaktiviteterna.
Framöver fokuseras pÄ att integrera formell verifiering för Move och liknande sprÄk, förbÀttra on-chain-runtime-övervakningen och etablera snabba responsprotokoll. LÀrdomarna frÄn denna sÄrbarhet kommer att forma sÀkerhetspraxis över framvÀxande Layer-1-ekosystem, driva en ny era av revisionsdriven utveckling och kontinuerlig riskbedömning.
Kommentarer (0)