Белые хакеры показали, как ошибка в Aptos Move могла ударить по мостам, стейблкоинам и DeFi.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Сервер за $3000 помог белым хакерам найти уязвимость, которая могла превратить блокчейн Aptos в точку удара по крипторынку на десятки миллиардов долларов. Исследователи Hexens утверждают, что ошибка в виртуальной машине Aptos Move позволяла обойти одно из главных защитных обещаний языка Move и получить доступ к правам, от которых зависят стейблкоины, мосты и DeFi-протоколы. Aptos Labs быстро выпустила исправление, а пользователи не потеряли деньги, но сама проверка показала неприятную вещь для индустрии: иногда для проверки катастрофического сценария хватает обычной арендованной инфраструктуры, а не доступа к валидаторам или внутренним системам.
Уязвимость обнаружил технический директор и сооснователь Hexens Ваге Карапетян. Команда нашла в Aptos Move VM ошибку stale-cache, которая приводила к путанице типов. Программа в таком состоянии могла воспринимать один ончейн-ресурс как другой. Для Move подобный класс багов особенно опасен, потому что права на выпуск токенов, управление мостами, администрирование кредитных рынков и другие критические полномочия часто хранятся прямо в виде ончейн-ресурсов.
По оценке Hexens, ошибка могла открыть доступ не только к отдельным приложениям внутри Aptos. Исследователи включили в зону риска мосты, кроссчейн-сообщения, административные механизмы стейблкоинов и маршруты, связанные с централизованными биржами. Суммарный потенциальный ущерб команда оценила примерно в $70 млрд. Grego AI отдельно посчитала, что напрямую внутри Aptos под риском находилось около $250 млн TVL при почти 90-процентной успешности атаки в проверочной среде.
Сценарий атаки проверяли на стенде, который имитировал реальные условия сети Aptos. Hexens развернула более 30 валидаторных узлов, воспроизвела распределение стейка, добавила обычный поток транзакций и создала высокую конкуренцию при исполнении операций. Инфраструктура обошлась примерно в $3000 и, по словам исследователей, позволила смоделировать около трети валидаторной сети. Команда запускала путь эксплуатации около 20 раз и получила успешный результат в 17 или 18 попытках. Неудачные попытки не останавливали сеть, поэтому злоумышленник теоретически мог повторять попытки дальше.
Hexens утверждает, что атака не требовала внутренних привилегий, доступа к валидаторам или специальных разрешений протокола. Исследователи также проверяли «сухие» подготовительные прогоны, чтобы заранее оценить состояние мемпула и сборки блоков, а затем выбрать более удачное окно для реальной попытки. По версии Hexens, такая калибровка снижала случайность и делала атаку практичнее.
Aptos Labs оспаривает оценку практического риска. Представитель проекта сообщил CoinDesk, что команда получила уведомление 25 февраля через bug bounty, уже разбирала потенциальную проблему внутри компании и в течение нескольких часов подготовила, проверила и установила исправление в основной сети. По позиции Aptos Labs, пользователи и средства не пострадали, а реальная эксплуатация бага выглядела крайне маловероятной.
Независимая проверка не закрыла спор полностью. Технический директор Polygon Мудит Гупта изучил proof-of-concept и заявил CoinDesk, что демонстрация работала заявленным образом, а логика атаки выглядела состоятельной. Grego AI также подтвердила работоспособность proof-of-concept и предупредила, что злоумышленник мог бы добраться до критических возможностей протоколов, включая механизмы LayerZero, Wormhole и CCTP для USDC.
После сообщения Hexens 25 февраля открыли экстренный канал SEAL911, через который специалисты по безопасности координировали реакцию. В тот же день уведомили разработчиков и несколько крупных downstream-проектов, которым передали материалы для локального запуска proof-of-concept и анализ опасных паттернов полномочий. Публичный pull request с исправлением появился 27 февраля, а Aptos заявила, что патч для приватных валидаторов развернули раньше публичного коммита.
Сумма $70 млрд в оценке Hexens остается теоретическим максимумом, а не прямым доказательством возможной кражи такого масштаба. В реальном инциденте эмитенты стейблкоинов, операторы мостов, биржи и валидаторы могли бы остановить часть операций, заморозить маршруты или срочно обновить узлы. Но проверка Hexens показывает более широкий риск: критическая ошибка в базовом слое блокчейна способна ударить не только по одной сети, а по системам, которые доверяют мостам, ролям минтеров и межсетевой инфраструктуре.
Для криптоиндустрии история Aptos стала еще одним напоминанием, что самые опасные баги часто прячутся не в смарт-контрактах приложений, а в правилах исполнения, типах данных и правах, встроенных в саму платформу. Когда подобная ошибка затрагивает мосты и стейблкоины, запасные барьеры вроде лимитов, мониторинга бирж и экстренных патчей превращаются из второстепенной защиты в последнюю границу между локальным багом и кризисом всего рынка.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Сервер за $3000 помог белым хакерам найти уязвимость, которая могла превратить блокчейн Aptos в точку удара по крипторынку на десятки миллиардов долларов. Исследователи Hexens утверждают, что ошибка в виртуальной машине Aptos Move позволяла обойти одно из главных защитных обещаний языка Move и получить доступ к правам, от которых зависят стейблкоины, мосты и DeFi-протоколы. Aptos Labs быстро выпустила исправление, а пользователи не потеряли деньги, но сама проверка показала неприятную вещь для индустрии: иногда для проверки катастрофического сценария хватает обычной арендованной инфраструктуры, а не доступа к валидаторам или внутренним системам.
Уязвимость обнаружил технический директор и сооснователь Hexens Ваге Карапетян. Команда нашла в Aptos Move VM ошибку stale-cache, которая приводила к путанице типов. Программа в таком состоянии могла воспринимать один ончейн-ресурс как другой. Для Move подобный класс багов особенно опасен, потому что права на выпуск токенов, управление мостами, администрирование кредитных рынков и другие критические полномочия часто хранятся прямо в виде ончейн-ресурсов.
По оценке Hexens, ошибка могла открыть доступ не только к отдельным приложениям внутри Aptos. Исследователи включили в зону риска мосты, кроссчейн-сообщения, административные механизмы стейблкоинов и маршруты, связанные с централизованными биржами. Суммарный потенциальный ущерб команда оценила примерно в $70 млрд. Grego AI отдельно посчитала, что напрямую внутри Aptos под риском находилось около $250 млн TVL при почти 90-процентной успешности атаки в проверочной среде.
Сценарий атаки проверяли на стенде, который имитировал реальные условия сети Aptos. Hexens развернула более 30 валидаторных узлов, воспроизвела распределение стейка, добавила обычный поток транзакций и создала высокую конкуренцию при исполнении операций. Инфраструктура обошлась примерно в $3000 и, по словам исследователей, позволила смоделировать около трети валидаторной сети. Команда запускала путь эксплуатации около 20 раз и получила успешный результат в 17 или 18 попытках. Неудачные попытки не останавливали сеть, поэтому злоумышленник теоретически мог повторять попытки дальше.
Hexens утверждает, что атака не требовала внутренних привилегий, доступа к валидаторам или специальных разрешений протокола. Исследователи также проверяли «сухие» подготовительные прогоны, чтобы заранее оценить состояние мемпула и сборки блоков, а затем выбрать более удачное окно для реальной попытки. По версии Hexens, такая калибровка снижала случайность и делала атаку практичнее.
Aptos Labs оспаривает оценку практического риска. Представитель проекта сообщил CoinDesk, что команда получила уведомление 25 февраля через bug bounty, уже разбирала потенциальную проблему внутри компании и в течение нескольких часов подготовила, проверила и установила исправление в основной сети. По позиции Aptos Labs, пользователи и средства не пострадали, а реальная эксплуатация бага выглядела крайне маловероятной.
Независимая проверка не закрыла спор полностью. Технический директор Polygon Мудит Гупта изучил proof-of-concept и заявил CoinDesk, что демонстрация работала заявленным образом, а логика атаки выглядела состоятельной. Grego AI также подтвердила работоспособность proof-of-concept и предупредила, что злоумышленник мог бы добраться до критических возможностей протоколов, включая механизмы LayerZero, Wormhole и CCTP для USDC.
После сообщения Hexens 25 февраля открыли экстренный канал SEAL911, через который специалисты по безопасности координировали реакцию. В тот же день уведомили разработчиков и несколько крупных downstream-проектов, которым передали материалы для локального запуска proof-of-concept и анализ опасных паттернов полномочий. Публичный pull request с исправлением появился 27 февраля, а Aptos заявила, что патч для приватных валидаторов развернули раньше публичного коммита.
Сумма $70 млрд в оценке Hexens остается теоретическим максимумом, а не прямым доказательством возможной кражи такого масштаба. В реальном инциденте эмитенты стейблкоинов, операторы мостов, биржи и валидаторы могли бы остановить часть операций, заморозить маршруты или срочно обновить узлы. Но проверка Hexens показывает более широкий риск: критическая ошибка в базовом слое блокчейна способна ударить не только по одной сети, а по системам, которые доверяют мостам, ролям минтеров и межсетевой инфраструктуре.
Для криптоиндустрии история Aptos стала еще одним напоминанием, что самые опасные баги часто прячутся не в смарт-контрактах приложений, а в правилах исполнения, типах данных и правах, встроенных в саму платформу. Когда подобная ошибка затрагивает мосты и стейблкоины, запасные барьеры вроде лимитов, мониторинга бирж и экстренных патчей превращаются из второстепенной защиты в последнюю границу между локальным багом и кризисом всего рынка.
- Источник новости
- www.securitylab.ru