Bu hafta güvenlik firması Hexens'in araştırmacılarının ortaya çıkardığı, temel tip güvenliği garantilerini zayıflatabilecek eski bir önbellek (stale-cache) hatasının Aptos Move sanal makinesi (VM) üzerinde kritik bir güvenlik açığına yol açtığı ortaya çıktı.
Bu kusur, Move tabanlı blok zincirlerinde yürütme kısıtlamalarını aşabilen tip-karışıklığı saldırılarına olanak tanıyarak DeFi protokolleri, stablecoin'ler ve köprüler arasında sistemik bir risk oluşturdu.
Şubat ayının sonlarında Hexens, Aptos Labs’ın hata ödülü kanalı üzerinden konuyu bildirdi. Araştırmacılar, yalnızca 3.000 dolar maliyetli basit bir sunucu kümesi üzerinde istismarı simüle etti; gerçekçi ağ koşulları altında başarı oranını %90’ın üzerinde elde etti. Kavramsal kanıt, dahili erişim veya ayrıcalıklı anahtarlar olmadan yetkisiz varlıklar üretme ve yönetimsel rolleri manipüle etme potansiyelini gösterdi.
Hexens'in kurucu ortağı Vahe Karapetyan hatayı, diğer protokollere ait sözleşme depolamasına kötü niyetli kodun yazıldığı Ethereum tarzı bir depolama bozulması açığına benzetti.
Grego AI ve Polygon CTO'su Mudit Gupta tarafından bağımsız incelemeler, istismarının uygulanabilirliğini doğruladı; Aptos-native TVL'nin yaklaşık 250 milyon dolarının doğrudan maruz kaldığını tahmin ettiler. Çapraz zincir ve köprü katmanları dahil olduğunda toplam sistemik risk yaklaşık 70 milyar dolara ulaştı.
Aptos Labs hızlı yanıt verdi: SEAL911 çerçevesi altında acil savaş odası toplandı ve bildirimin ardından saatler içinde ana ağ üzerinde bir düzeltme devreye alındı. Olayda herhangi bir fon kaybı yaşanmadı. Aptos yöneticileri, yamadan sonra VM’nin gerçek dünyadaki istismar edilebilirliğinin düşük olduğunu vurguladılar, ancak sağlam altyapı güvenlik önlemlerinin önemini kabul ettiler.
Olay, blockchain sistemlerinde proaktif güvenlik denetimlerine ve katmanlı savunmalara olan kritik ihtiyacı vurguluyor. Ağlar ölçeklendikçe akıllı sözleşme çalışma zamanlarının bütünlüğü, zincir üstü sermayenin korunması için en önemli hale geliyor. Protokol ekipleri şimdi hata ödülü teşviklerini, yamaların dağıtım iş akışlarını ve doğrulayıcı yükseltme mekanizmalarını yeniden değerlendirerek gelecekteki risk pencerelerini en aza indirmeyi planlıyor.
Aptos'un ötesinde, keşif çapraz zincir güvenliği ve parser ile VM güvenlik açıklarının potansiyel domino etkileri konusundaki tartışmayı yeniden alevlendirdi. Endüstri paydaşları, standartlaştırılmış test çerçeveleri ve çekirdek geliştiriciler ile bağımsız denetçiler arasında daha sıkı işbirliği çağrısında bulunuyor. Küçük bir araştırma ekibinin milyar dolarlık bir saldırıyı simüle edebilme kapasitesi ise bir uyarı niteliğinde: blockchain altyapısının tehdit yetenekleriyle aynı hızda evrilmesi gerekiyor.
Yorumlar (0)