Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
CFD
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
CFD
Derivatif CFD Saham AS
Saham AS
Akses saham AS dan ETF yang nyata
Saham HK
Perdagangkan saham berkualitas yang terdaftar di Hong Kong
Saham Korea
SK Hynix
Perdagangkan Saham Korea Nyata dan Berinvestasi pada Aset Populer
Saham Futures
Leverage tinggi, perdagangan 24/7
Tokenized Stocks
Didukung oleh aset saham nyata
IPO Access
Buka akses penuh ke IPO saham global
GUSD
Mint GUSD untuk Imbal Hasil Treasury RWA
Aktivitas Saham
Perdagangkan Saham Populer dan Dapatkan Airdrop yang Melimpah
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
IPO Access
Buka akses penuh ke IPO saham global
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Promosi
AI
Gate AI
Partner AI serbaguna untuk Anda
Gate AI Bot
Gunakan Gate AI langsung di aplikasi sosial Anda
GateClaw
Gate Blue Lobster, langsung pakai
Gate for AI Agent
Infrastruktur AI, Gate MCP, Skills, dan CLI
Gate Skills Hub
10RB+ Skills
Dari kantor hingga trading, satu platform keterampilan membuat AI jadi lebih mudah digunakan
Bahaya! Perusahaan keamanan menemukan kerentanan Aptos: 700 miliar dolar AS dalam risiko sistematis untuk mata uang kripto.
Perusahaan keamanan siber Hexens, peretas topi putih, menemukan kerentanan kebingungan tipe di mesin virtual Move dari blockchain Aptos, dengan tingkat keberhasilan serangan mendekati 90%. Hexens memperkirakan, jika disalahgunakan, risiko sistemik yang terkait dengan jembatan lintas rantai, penerbitan stablecoin, dan bursa dapat mencapai 70 miliar dolar AS.
(Pengantar sebelumnya: Kepala Petugas Hukum Grayscale, Craig Salm, berseru: Kerentanan Zcash kemungkinan kecil dieksploitasi sebelum diperbaiki)
(Latar belakang tambahan: Peretas topi putih mengungkap celah 0-day tersembunyi di Cosmos! Restart node dapat menyebabkan kebuntuan total dan kelumpuhan, namun pihak resmi menganggap laporan sebagai spam)
Daftar Isi
Toggle
Server dengan biaya pemasangan kurang dari 3.000 dolar AS, ditambah tim peretas topi putih, sudah cukup membuat aset kripto senilai 70 miliar dolar AS terpapar risiko? Ini adalah kesimpulan dari simulasi serangan oleh perusahaan keamanan siber Hexens di blockchain Aptos. Para peneliti mengulang serangan dalam kondisi mendekati jaringan utama, dengan tingkat keberhasilan mendekati 90%.
CTO Hexens, Vahe Karapetyan, adalah penemu kerentanan ini. Masalah yang bersembunyi di mesin virtual Move Aptos (lingkungan inti yang menjalankan kontrak pintar) ini disebut oleh Hexens sebagai "bug cache usang (stale-cache bug)" yang menyebabkan "kebingungan tipe".
Secara sederhana, perangkat lunak dapat disesatkan untuk salah mengenali satu jenis sumber daya on-chain sebagai jenis lainnya. Analogi dengan arsitektur gaya Ethereum, ini setara dengan memungkinkan kode yang dikendalikan oleh penyerang menulis langsung ke ruang penyimpanan kontrak lain, sepenuhnya melewati jaminan keamanan tipe yang seharusnya dijaga oleh bahasa Move.
Server seharga 3.000 dolar AS, 20 simulasi berhasil 18 kali
Tim Karapetyan, untuk memverifikasi bahwa kerentanan ini nyata dan dapat dieksploitasi, membangun sendiri lingkungan simulasi mendekati skala jaringan utama: lebih dari 30 node validator, distribusi staking mendekati jaringan utama, ditambah aliran transaksi nyata dan persaingan eksekusi intensitas tinggi. Biaya pemasangan seluruh lingkungan ini hanya sekitar 3.000 dolar AS; jika benar-benar melancarkan serangan, biayanya akan lebih rendah, dan tidak memerlukan izin validator, pengetahuan internal, atau akses istimewa apa pun.
Tim menguji sekitar 20 kali dalam lingkungan simulasi, berhasil 17 hingga 18 kali, dengan tingkat keberhasilan mendekati 90%. Meskipun kadang-kadang gagal 2 hingga 3 kali, itu tidak akan menghentikan jaringan; penyerang dapat dengan sabar menunggu jendela berikutnya untuk menyerang lagi.
SEAL911 bertempur semalaman, diperbaiki dalam 48 jam
Hexens melaporkan kerentanan secara resmi pada 25 Februari 2026 melalui program bug bounty Aptos.
Aptos mengatakan bahwa saat menerima laporan, tim internal sebenarnya sudah mulai menangani masalah ini secara terpisah. Pada hari yang sama, tim tanggap darurat sukarelawan industri kripto "SEAL911" segera membuka ruang operasi; tim ini dalam beberapa tahun terakhir telah menjadi lapisan tanggap darurat penting pertama dalam ekosistem kripto saat menghadapi kerentanan besar.
Dalam beberapa jam, Aptos memberitahu vendor yang terkena dampak, dan sore harinya lebih lanjut memberi tahu 4 proyek hilir utama, serta melampirkan bukti konsep (PoC) yang dapat dijalankan di lokal. Pada 27 Februari, permintaan pull perbaikan publik sudah online; Aptos menekankan bahwa sebelum commit publik, tim sebenarnya sudah menerapkan perbaikan pada validator privat.
Pejabat Aptos mengatakan kepada CoinDesk: "Saat menerima laporan melalui bug bounty pada 25 Februari, internal sudah melakukan penanganan terpisah. Perbaikan dikembangkan, diuji, dan diterapkan ke jaringan utama dalam beberapa jam setelah penemuan, dan tidak ada pengguna atau dana yang terpengaruh selama proses tersebut."
"Hampir tidak dapat dieksploitasi"? Verifikasi pihak ketiga membantah pernyataan resmi
Namun, pernyataan resmi Aptos berbeda dengan penilaian Hexens. Aptos mengatakan kepada CoinDesk: "Analisis kami menunjukkan bahwa kerentanan ini memiliki kemungkinan eksploitasi yang sangat rendah dalam kondisi dunia nyata." Hexens menanggapi bahwa hingga saat ini belum menerima bantahan teknis berbasis bukti; satu-satunya kekhawatiran yang diajukan resmi hanyalah komponen probabilistik yang melekat pada kerentanan, yang justru merupakan masalah yang ingin dipecahkan oleh teknik "kalibrasi tanpa senjata".
Namun, hasil verifikasi pihak ketiga tampaknya lebih berpihak pada Hexens. CTO Polygon, Mudit Gupta, setelah meninjau bukti konsep ini secara independen mengatakan: "Ini berjalan seperti yang diklaim, kerentanan masuk akal... Beberapa kondisi harus dipenuhi, tampaknya mereka mencapainya di jaringan utama."
Lembaga lain yang memverifikasi PoC Hexens secara independen, Grego AI, menunjukkan bahwa kerentanan ini cukup untuk mencuri kemampuan berbagai protokol termasuk LayerZero, Wormhole, dan protokol lintas rantai USDC CCTP. CEO Grego AI, Justus Hanna, berkata terus terang: "Jika pelaku jahat mendapatkan kerentanan ini, mereka dapat mengambil total nilai terkunci (TVL) apa pun yang mereka inginkan."
Dari 250 juta hingga 70 miliar dolar AS: pembesaran risiko bertahap
Hexens memperkirakan bahwa paparan langsung di rantai Aptos, yang melibatkan DeFi, aset yang ditokenisasi, infrastruktur stablecoin, dan protokol lapisan pertama staking likuid, berjumlah sekitar "miliaran dolar AS"; Grego AI, berdasarkan tingkat keberhasilan serangan hampir 90%, memperkirakan sekitar 250 juta dolar AS total nilai terkunci asli Aptos terancam langsung, belum termasuk paparan lintas rantai.
Jika dilihat lebih luas pada risiko sistemik, angka yang diberikan Hexens adalah 70 miliar dolar AS, mencakup jembatan lintas rantai, sistem pesan lintas rantai, proses manajemen penerbitan stablecoin, dan nilai aset yang dapat dijangkau oleh bursa terpusat. Angka mengejutkan ini didasarkan pada asumsi bahwa penyerang mencetak USDC dalam jumlah besar, kemudian memindahkan aset ke rantai lain melalui protokol transfer lintas rantai Circle (CCTP).
Namun, Circle baru-baru ini menyatakan bahwa tanpa otorisasi hukum, mereka tidak akan membekukan aset; dengan kata lain, jika semua pihak turun tangan tepat waktu, kemungkinan realisasi penuh 70 miliar dolar AS tidak tinggi, tetapi angka ini masih cukup untuk menunjukkan seberapa besar masalahnya.
Perlu dicatat, dalam bahasa Move, kunci izin protokol seperti mencetak stablecoin, mengendalikan jembatan lintas rantai, mengelola pasar pinjaman, sering disimpan sebagai "sumber daya on-chain". Begitu peran semacam ini disusupi, kerusakan tidak akan terbatas pada satu protokol, tetapi akan menyebar melalui rantai kepercayaan ke semua sistem yang bergantung padanya.
Dalam pengujian nyata, tim Hexens bahkan sempat mengambil alih peran seperti "master minter" dan beroperasi melalui jalur manajemen yang sah; meskipun akhirnya berhenti pada pencetakan nyata, itu sudah cukup membuktikan bahwa peran semacam ini harus dimasukkan ke dalam model ancaman yang lengkap. Para peneliti percaya bahwa jalur utama menuju paparan yang lebih luas sebenarnya adalah bursa terpusat, terutama jalur jembatan Aptos yang menghubungkan aktivitas on-chain dengan pencatatan setoran bursa.