Bahaya! Perusahaan keamanan menemukan kerentanan Aptos: 700 miliar dolar AS dalam risiko sistematis untuk mata uang kripto.

Perusahaan keamanan siber Hexens, peretas topi putih, menemukan kerentanan kebingungan tipe di mesin virtual Move dari blockchain Aptos, dengan tingkat keberhasilan serangan mendekati 90%. Hexens memperkirakan, jika disalahgunakan, risiko sistemik yang terkait dengan jembatan lintas rantai, penerbitan stablecoin, dan bursa dapat mencapai 70 miliar dolar AS.
(Pengantar sebelumnya: Kepala Petugas Hukum Grayscale, Craig Salm, berseru: Kerentanan Zcash kemungkinan kecil dieksploitasi sebelum diperbaiki)
(Latar belakang tambahan: Peretas topi putih mengungkap celah 0-day tersembunyi di Cosmos! Restart node dapat menyebabkan kebuntuan total dan kelumpuhan, namun pihak resmi menganggap laporan sebagai spam)

Daftar Isi

Toggle

  • Server seharga 3.000 dolar AS, 20 simulasi berhasil 18 kali
  • SEAL911 bertempur semalaman, diperbaiki dalam 48 jam
  • "Hampir tidak dapat dieksploitasi"? Verifikasi pihak ketiga membantah pernyataan resmi
  • Dari 250 juta hingga 70 miliar dolar AS: pembesaran risiko bertahap

Server dengan biaya pemasangan kurang dari 3.000 dolar AS, ditambah tim peretas topi putih, sudah cukup membuat aset kripto senilai 70 miliar dolar AS terpapar risiko? Ini adalah kesimpulan dari simulasi serangan oleh perusahaan keamanan siber Hexens di blockchain Aptos. Para peneliti mengulang serangan dalam kondisi mendekati jaringan utama, dengan tingkat keberhasilan mendekati 90%.

CTO Hexens, Vahe Karapetyan, adalah penemu kerentanan ini. Masalah yang bersembunyi di mesin virtual Move Aptos (lingkungan inti yang menjalankan kontrak pintar) ini disebut oleh Hexens sebagai "bug cache usang (stale-cache bug)" yang menyebabkan "kebingungan tipe".

Secara sederhana, perangkat lunak dapat disesatkan untuk salah mengenali satu jenis sumber daya on-chain sebagai jenis lainnya. Analogi dengan arsitektur gaya Ethereum, ini setara dengan memungkinkan kode yang dikendalikan oleh penyerang menulis langsung ke ruang penyimpanan kontrak lain, sepenuhnya melewati jaminan keamanan tipe yang seharusnya dijaga oleh bahasa Move.

Server seharga 3.000 dolar AS, 20 simulasi berhasil 18 kali

Tim Karapetyan, untuk memverifikasi bahwa kerentanan ini nyata dan dapat dieksploitasi, membangun sendiri lingkungan simulasi mendekati skala jaringan utama: lebih dari 30 node validator, distribusi staking mendekati jaringan utama, ditambah aliran transaksi nyata dan persaingan eksekusi intensitas tinggi. Biaya pemasangan seluruh lingkungan ini hanya sekitar 3.000 dolar AS; jika benar-benar melancarkan serangan, biayanya akan lebih rendah, dan tidak memerlukan izin validator, pengetahuan internal, atau akses istimewa apa pun.

Tim menguji sekitar 20 kali dalam lingkungan simulasi, berhasil 17 hingga 18 kali, dengan tingkat keberhasilan mendekati 90%. Meskipun kadang-kadang gagal 2 hingga 3 kali, itu tidak akan menghentikan jaringan; penyerang dapat dengan sabar menunggu jendela berikutnya untuk menyerang lagi.

SEAL911 bertempur semalaman, diperbaiki dalam 48 jam

Hexens melaporkan kerentanan secara resmi pada 25 Februari 2026 melalui program bug bounty Aptos.

Aptos mengatakan bahwa saat menerima laporan, tim internal sebenarnya sudah mulai menangani masalah ini secara terpisah. Pada hari yang sama, tim tanggap darurat sukarelawan industri kripto "SEAL911" segera membuka ruang operasi; tim ini dalam beberapa tahun terakhir telah menjadi lapisan tanggap darurat penting pertama dalam ekosistem kripto saat menghadapi kerentanan besar.

Dalam beberapa jam, Aptos memberitahu vendor yang terkena dampak, dan sore harinya lebih lanjut memberi tahu 4 proyek hilir utama, serta melampirkan bukti konsep (PoC) yang dapat dijalankan di lokal. Pada 27 Februari, permintaan pull perbaikan publik sudah online; Aptos menekankan bahwa sebelum commit publik, tim sebenarnya sudah menerapkan perbaikan pada validator privat.

Pejabat Aptos mengatakan kepada CoinDesk: "Saat menerima laporan melalui bug bounty pada 25 Februari, internal sudah melakukan penanganan terpisah. Perbaikan dikembangkan, diuji, dan diterapkan ke jaringan utama dalam beberapa jam setelah penemuan, dan tidak ada pengguna atau dana yang terpengaruh selama proses tersebut."

"Hampir tidak dapat dieksploitasi"? Verifikasi pihak ketiga membantah pernyataan resmi

Namun, pernyataan resmi Aptos berbeda dengan penilaian Hexens. Aptos mengatakan kepada CoinDesk: "Analisis kami menunjukkan bahwa kerentanan ini memiliki kemungkinan eksploitasi yang sangat rendah dalam kondisi dunia nyata." Hexens menanggapi bahwa hingga saat ini belum menerima bantahan teknis berbasis bukti; satu-satunya kekhawatiran yang diajukan resmi hanyalah komponen probabilistik yang melekat pada kerentanan, yang justru merupakan masalah yang ingin dipecahkan oleh teknik "kalibrasi tanpa senjata".

Namun, hasil verifikasi pihak ketiga tampaknya lebih berpihak pada Hexens. CTO Polygon, Mudit Gupta, setelah meninjau bukti konsep ini secara independen mengatakan: "Ini berjalan seperti yang diklaim, kerentanan masuk akal... Beberapa kondisi harus dipenuhi, tampaknya mereka mencapainya di jaringan utama."

Lembaga lain yang memverifikasi PoC Hexens secara independen, Grego AI, menunjukkan bahwa kerentanan ini cukup untuk mencuri kemampuan berbagai protokol termasuk LayerZero, Wormhole, dan protokol lintas rantai USDC CCTP. CEO Grego AI, Justus Hanna, berkata terus terang: "Jika pelaku jahat mendapatkan kerentanan ini, mereka dapat mengambil total nilai terkunci (TVL) apa pun yang mereka inginkan."

Dari 250 juta hingga 70 miliar dolar AS: pembesaran risiko bertahap

Hexens memperkirakan bahwa paparan langsung di rantai Aptos, yang melibatkan DeFi, aset yang ditokenisasi, infrastruktur stablecoin, dan protokol lapisan pertama staking likuid, berjumlah sekitar "miliaran dolar AS"; Grego AI, berdasarkan tingkat keberhasilan serangan hampir 90%, memperkirakan sekitar 250 juta dolar AS total nilai terkunci asli Aptos terancam langsung, belum termasuk paparan lintas rantai.

Jika dilihat lebih luas pada risiko sistemik, angka yang diberikan Hexens adalah 70 miliar dolar AS, mencakup jembatan lintas rantai, sistem pesan lintas rantai, proses manajemen penerbitan stablecoin, dan nilai aset yang dapat dijangkau oleh bursa terpusat. Angka mengejutkan ini didasarkan pada asumsi bahwa penyerang mencetak USDC dalam jumlah besar, kemudian memindahkan aset ke rantai lain melalui protokol transfer lintas rantai Circle (CCTP).

Namun, Circle baru-baru ini menyatakan bahwa tanpa otorisasi hukum, mereka tidak akan membekukan aset; dengan kata lain, jika semua pihak turun tangan tepat waktu, kemungkinan realisasi penuh 70 miliar dolar AS tidak tinggi, tetapi angka ini masih cukup untuk menunjukkan seberapa besar masalahnya.

Perlu dicatat, dalam bahasa Move, kunci izin protokol seperti mencetak stablecoin, mengendalikan jembatan lintas rantai, mengelola pasar pinjaman, sering disimpan sebagai "sumber daya on-chain". Begitu peran semacam ini disusupi, kerusakan tidak akan terbatas pada satu protokol, tetapi akan menyebar melalui rantai kepercayaan ke semua sistem yang bergantung padanya.

Dalam pengujian nyata, tim Hexens bahkan sempat mengambil alih peran seperti "master minter" dan beroperasi melalui jalur manajemen yang sah; meskipun akhirnya berhenti pada pencetakan nyata, itu sudah cukup membuktikan bahwa peran semacam ini harus dimasukkan ke dalam model ancaman yang lengkap. Para peneliti percaya bahwa jalur utama menuju paparan yang lebih luas sebenarnya adalah bursa terpusat, terutama jalur jembatan Aptos yang menghubungkan aktivitas on-chain dengan pencatatan setoran bursa.

APT-0,95%
ZEC-0,46%
ATOM-2,08%
ETH0,35%
ZRO2,17%
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • 1
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
GateUser-12f69f5b
· 4jam yang lalu
tepat kekuatan👍!!!
Lihat AsliBalas0
  • Disematkan