Виправлено уразливість у мережі Aptos, яка піддавала ризику 70 мільярдів доларів США атаці в 3 тисячі доларів
- Уразливість дозволяла отримувати контроль над ролями, які авторизують випуск стейблкоїнів, таких як USDC.
- Дослідники довели, що з 17 до 18 з кожних 20 спроб атаки були успішними.
Критична уразливість у мережі Aptos була виправлена в лютому цього року, після того як компанія з безпеки Hexens продемонструвала, що ця вразливість могла піддати ризику до 70 мільярдів доларів США в коштах в екосистемі Aptos за допомогою атаки вартістю всього 3 тисячі доларів, що є вартістю, яку дослідники зазначили для оренди сервера з потужністю настільного комп'ютера. Виправлення було застосовано до того, як уразливість була використана, тому жоден користувач не втратив грошей.
Хоча виявлення та його виправлення відбулося в лютому, повні технічні деталі та доказ концепції (PoC) від Hexens стали відомі лише цього тижня, коли Hexens та команда Aptos оприлюднили їх.
В Hexens запевнили, що з кожних 20 спроб, симулюючи атаку, від 17 до 18 закінчувалися успіхом у тестовому середовищі з більш ніж 30 вузлами (комп'ютерами, які перевіряють та підтверджують операції в мережі). Команда Aptos підтвердила 4 липня в одному з медіа, що виявлення було повідомлено 25 лютого через програму винагород за повідомлення про уразливості безпеки, і виправлення було розроблено, протестовано та розгорнуто в основній мережі пізніше.
Помилка виникала в віртуальній машині Move (MoveVM), програмі, яка виконує код смарт-контрактів в Aptos для виконання операцій мережі, розробленій на мові програмування Move. Ця програма, в свою чергу, організовує дані кожного контракту в структурах, у спосіб, яким MoveVM зберігає, наприклад, баланс рахунку або права адміністрації протоколу.
Система зберігає ідентифікаційний номер для кожної з цих структур у тимчасовій пам'яті, щоб не повторювати той самий процес при кожній операції. Проблема виникала, коли система очищала частину цієї пам'яті, щоб звільнити місце, але не всю: номер, що ідентифікував структуру, міг помилково залишитися пов'язаним з даними зовсім іншої структури. Це те, що відомо як плутанина типів, помилка, в якій програма в кінцевому підсумку обробляє інформацію з одного рахунку, як якщо б вона належала іншому.
З цією помилкою, як описав Hexens у своєму технічному звіті, опублікованому 6 липня, зловмисник міг отримати контроль над ролями головного адміністратора, функцією, яка авторизує випуск стейблкоїна, або над можливостями підпису, які контролюють управління коштами в межах контракту. Дослідники стверджували, що змогли отримати контроль над роллю головного адміністратора і дійшли до етапу, що передує авторизації випуску, не виконуючи його.
Команда Hexens також зазначила, що уразливість охоплювала маршрути, які з'єднують Aptos з мостами між мережами, такими як ті, що працюють на Wormhole та LayerZero, а також з протоколом, який використовує компанія Circle для переміщення свого стейблкоїна USDC між різними мережами, відомим за його абревіатурою англійською мовою як CCTP (Cross-Chain Transfer Protocol).
Згідно з компанією Hexens, зловмисник міг також примусити повне очищення цих тимчасових пам'ятей (кешів) після спроби, успішної чи невдалої, щоб не залишити слідів маніпуляцій. Це частково пояснює, чому компанія наполягає на тому, що невдалі спроби не зупиняли мережу і не піддавали ризику поточну атаку.
Додатково, дослідники Hexens порівняли проблему з еквівалентним сценарієм в мережі на основі Ethereum, в якій код під контролем зловмисника міг безпосередньо записувати в простір зберігання іншого контракту, обходячи гарантії системи типів, які Move було спеціально розроблено для підтримки.
Hexens повідомила про уразливість, дотримуючись практики відповідального розкриття, тобто, попередивши Aptos в приватному порядку перед публікацією будь-яких деталей у публічному доступі. Також була активована аварійна кімната, координована SEAL911, добровільною мережею реагування, яку різні проекти в секторі використовують для координації реакцій на серйозні інциденти безпеки.
Команда Aptos, в свою чергу, оцінила практичну експлуатованість уразливості як <<екстремально низьку>>. Ця оцінка контрастує з рівнем успіху від 17 до 18 з кожних 20 спроб, які Hexens заявила, що їй вдалося досягти в своїх симуляціях, а також з незалежними перевірками двох третіх сторін: Мудіт Гупта, технічний директор (CTO) Polygon, стверджував, що доказ концепції працював так, як було описано, в той час як компанія Grego AI, в свою чергу, оцінила ризик безпосередньо на активи Aptos в 250 мільйонів доларів США, що є значно меншою цифрою, ніж 70 мільярдів доларів, які Hexens оцінила для розширеного впливу на решту екосистеми.
Нарешті, Шарль Гійєме, технічний директор Ledger, зазначив, що такого роду виявлення, з повними трасами віртуальної машини та двома функціональними доказами концепції, раніше вимагали місяців роботи спеціаліста, а сьогодні, з інструментами штучного інтелекту, це швидше та дешевше виробляти. За його словами, якщо команди безпеки сьогодні можуть переглядати кожен рядок коду та створювати функціональну атаку за низькою ціною, варто вважати, що групи зловмисників, включаючи пов'язані з Північною Кореєю, такі як Lazarus, мають подібні можливості.
Відмова від відповідності: цей контент надано лише для загальних брендингових та інформаційних цілей і не є фінансовою, інвестиційною, юридичною чи податковою консультацією. Події, нагороди, онлайн-події або пов’язану інформацію, згадана тут, не слід розглядати як рекомендацію, прохання чи запрошення до купівлі, продажу, торгівлі чи інших операцій з криптоактивами або використання послуг. Криптоактиви є дуже волатильними та можуть призвести до збитків. Послуги WEEX та онлайн-події можуть бути недоступні в усіх регіонах та підпадають під дію чинних законів, правил та вимог до участі. Ви несете відповідальність за забезпечення відповідності використання вами послуг WEEX місцевому законодавству та за ретельну оцінку ризиків перед участю в діяльності, пов’язаній з криптовалютами.
Вам також може сподобатися

Мерілл Лінч: Слідкуйте за японським ринком, це буде «канарейкою» для глобального падіння

AscendEX оголосила про закриття! Підозри щодо недостатності активів у гарячих гаманцях зростають, користувачі панікують через виведення коштів

Обчислення в капітальному ринку

IPCA нижче очікувань у червні: що зміниться для долара та відсотків

Останнє інтерв'ю SemiAnalysis: зберігання має потенціал подвоїтися, обережно з CPO в короткостроковій та середньостроковій перспективі, CPU лише на другому плані

FDV проти ринкової капіталізації: два числа, які визначають, чи є токен дешевим

Чи є Ethereum справжнім «світовим комп'ютером»?

Інвестор про 17 суджень щодо втіленого, моделей та обчислювальної потужності

Інтелектуальна арбітражна пастка Bittensor: капітал лише спекулює на токенах, якісним AI ніхто не зацікавлений

Кількість адрес у Litecoin зросла на понад 22 мільйони всього за 6 місяців

Shiba Inu: Після паузи проекти Eternity та Metaverse готуються до повернення

Що таке "дренажники гаманців"? Всередині індустрії фішингу на схвалення

Ера торгівлі з AI: LTP запускає перший у світі чемпіонат з реальної торгівлі на основі AI Agent

Чи може зміна блокчейну дійсно "змінити долю"?

Revolut інтегрує свою криптобіржу з AI-асистентами в умовах поширення агентної торгівлі

Міністерство юстиції США висунуло обвинувачення ув'язненому за нібито крадіжку криптовалюти на суму 290 тисяч доларів

Обсяги торгівлі подвоїлися в червні: екосистема x402 продовжує розширюватися, наратив монетизації контенту стикається з ключовими випробуваннями

Ваш: «Єдиний фронт», мета - зниження процентних ставок?

Порівняння білого паперу Ethereum та Solana (2026)

Французька технологія: зростання ІІ та квантових технологій, відсутність криптовалют

Домашній гуманоїдний робот NEO отримав "досвідчені руки": як руки стали API для входу у фізичний світ?

Що таке SCEX? Платформа криптоактивів для ринку В'єтнаму від Sacombank

Велике оновлення ChatGPT: можливість роботи на різних платформах, створення сайтів одним натисканням кнопки та зниження цін

BTC перевищує 63 000, намагаючись досягти 64 000, ринок торгує «контрольованими ризиками»

Коли бульбашка лопається, хто домінує в увазі в епоху ШІ? Посібник 2026 року щодо впливових KOL у Китаї та Великій Британії

Старі гроші в криптовалюті: Paradigm залучила 1,2 мільярда доларів, половину з яких інвестує в AI та робототехніку

Bitdeer представила завод у Неваді вартістю 36 мільйонів доларів для зміни ситуації в майнінгу Bitcoin

Perplexity налаштувала китайську модель ШІ, щоб відповідати Claude Opus 4.8 за третину вартості

Банк Кореї захищає план стабільної монети на основі банків у умовах безвихідної ситуації з законопроектом







