Новости Взломать блокчейн на $70 миллиардов? Оказалось, хватит сервера за три тысячи

NewsMaker

I'm just a script
Премиум
28,040
46
8 Ноя 2022
Белые хакеры показали, как ошибка в Aptos Move могла ударить по мостам, стейблкоинам и DeFi.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
gbdrae39oqvb40xy5ffnj5f0zwrot7t4.jpg

Сервер за $3000 помог белым хакерам найти уязвимость, которая могла превратить блокчейн Aptos в точку удара по крипторынку на десятки миллиардов долларов. Исследователи Hexens утверждают, что ошибка в виртуальной машине Aptos Move позволяла обойти одно из главных защитных обещаний языка Move и получить доступ к правам, от которых зависят стейблкоины, мосты и DeFi-протоколы. Aptos Labs быстро выпустила исправление, а пользователи не потеряли деньги, но сама проверка показала неприятную вещь для индустрии: иногда для проверки катастрофического сценария хватает обычной арендованной инфраструктуры, а не доступа к валидаторам или внутренним системам.

Уязвимость обнаружил технический директор и сооснователь Hexens Ваге Карапетян. Команда нашла в Aptos Move VM ошибку stale-cache, которая приводила к путанице типов. Программа в таком состоянии могла воспринимать один ончейн-ресурс как другой. Для Move подобный класс багов особенно опасен, потому что права на выпуск токенов, управление мостами, администрирование кредитных рынков и другие критические полномочия часто хранятся прямо в виде ончейн-ресурсов.

По оценке Hexens, ошибка могла открыть доступ не только к отдельным приложениям внутри Aptos. Исследователи включили в зону риска мосты, кроссчейн-сообщения, административные механизмы стейблкоинов и маршруты, связанные с централизованными биржами. Суммарный потенциальный ущерб команда оценила примерно в $70 млрд. Grego AI отдельно посчитала, что напрямую внутри Aptos под риском находилось около $250 млн TVL при почти 90-процентной успешности атаки в проверочной среде.

Сценарий атаки проверяли на стенде, который имитировал реальные условия сети Aptos. Hexens развернула более 30 валидаторных узлов, воспроизвела распределение стейка, добавила обычный поток транзакций и создала высокую конкуренцию при исполнении операций. Инфраструктура обошлась примерно в $3000 и, по словам исследователей, позволила смоделировать около трети валидаторной сети. Команда запускала путь эксплуатации около 20 раз и получила успешный результат в 17 или 18 попытках. Неудачные попытки не останавливали сеть, поэтому злоумышленник теоретически мог повторять попытки дальше.

Hexens утверждает, что атака не требовала внутренних привилегий, доступа к валидаторам или специальных разрешений протокола. Исследователи также проверяли «сухие» подготовительные прогоны, чтобы заранее оценить состояние мемпула и сборки блоков, а затем выбрать более удачное окно для реальной попытки. По версии Hexens, такая калибровка снижала случайность и делала атаку практичнее.

Aptos Labs оспаривает оценку практического риска. Представитель проекта сообщил CoinDesk, что команда получила уведомление 25 февраля через bug bounty, уже разбирала потенциальную проблему внутри компании и в течение нескольких часов подготовила, проверила и установила исправление в основной сети. По позиции Aptos Labs, пользователи и средства не пострадали, а реальная эксплуатация бага выглядела крайне маловероятной.

Независимая проверка не закрыла спор полностью. Технический директор Polygon Мудит Гупта изучил proof-of-concept и заявил CoinDesk, что демонстрация работала заявленным образом, а логика атаки выглядела состоятельной. Grego AI также подтвердила работоспособность proof-of-concept и предупредила, что злоумышленник мог бы добраться до критических возможностей протоколов, включая механизмы LayerZero, Wormhole и CCTP для USDC.

После сообщения Hexens 25 февраля открыли экстренный канал SEAL911, через который специалисты по безопасности координировали реакцию. В тот же день уведомили разработчиков и несколько крупных downstream-проектов, которым передали материалы для локального запуска proof-of-concept и анализ опасных паттернов полномочий. Публичный pull request с исправлением появился 27 февраля, а Aptos заявила, что патч для приватных валидаторов развернули раньше публичного коммита.

Сумма $70 млрд в оценке Hexens остается теоретическим максимумом, а не прямым доказательством возможной кражи такого масштаба. В реальном инциденте эмитенты стейблкоинов, операторы мостов, биржи и валидаторы могли бы остановить часть операций, заморозить маршруты или срочно обновить узлы. Но проверка Hexens показывает более широкий риск: критическая ошибка в базовом слое блокчейна способна ударить не только по одной сети, а по системам, которые доверяют мостам, ролям минтеров и межсетевой инфраструктуре.

Для криптоиндустрии история Aptos стала еще одним напоминанием, что самые опасные баги часто прячутся не в смарт-контрактах приложений, а в правилах исполнения, типах данных и правах, встроенных в саму платформу. Когда подобная ошибка затрагивает мосты и стейблкоины, запасные барьеры вроде лимитов, мониторинга бирж и экстренных патчей превращаются из второстепенной защиты в последнюю границу между локальным багом и кризисом всего рынка.
 
Источник новости
www.securitylab.ru

Похожие темы