Kerentanan Aptos: Bagaimana Kecepatannya Memperlebar Risiko $70B

  • Hexens menemukan celah kritis di Aptos yang telah ditambal sebelum ada dana yang berpindah.
  • Celah tersebut bisa memungkinkan penyerang memalsukan aset dan mendorongnya melintasi jembatan.
  • Aptos membantah tingkat keparahannya, namun CTO Polygon memvalidasi bukti konsep tersebut.
  • Kasus ini menghidupkan kembali argumen untuk pemutus sirkuit on-chain di L1 cepat.

Sebuah firma keamanan mengungkapkan bahwa Aptos, salah satu blockchain lapis-1 yang lebih cepat, menyimpan celah kritis selama berbulan-bulan sebelum akhirnya diperbaiki secara diam-diam. Pada 4 Juli, Hexens mempublikasikan sebuah bug yang telah dilaporkan secara pribadi ke Aptos pada 25 Februari lalu, sebuah kelemahan pada mesin yang menjalankan kontrak pintar rantai tersebut yang, menurut perkiraan mereka sendiri, menempatkan sebanyak 70 miliar dolar AS dalam risiko teoretis di berbagai jembatan, stablecoin, dan bursa yang terhubung. Aptos Labs telah menambalnya dalam hitungan jam setelah laporan pertama tersebut, dan tidak ada dana pengguna yang pernah tersentuh. Jadi mengapa tambalan yang sudah berusia lima bulan menjadi berita sekarang? Dua alasan. Angkanya, tentu saja. Tapi juga detail yang mendasarinya: hal yang paling dipasarkan Aptos adalah kecepatan mentah, dan kecepatan mentah itulah yang mengubah 70 miliar dolar AS dari judul yang menakutkan menjadi perkiraan yang dapat dipertahankan. Sebuah pujian throughput rekor, satu hari setelah cerita itu muncul Pada 5 Juli, hanya 24 jam setelah laporan, akun resmi proyek melanjutkan pembaruan tokenomik bulanan yang dijadwalkan, melaporkan 232,5 ribu APT dibakar selama 30 hari terakhir, lebih dari 16 juta transaksi dalam satu hari untuk rekor kuartalan baru, dan biaya rata-rata 0,0005 dolar AS setelah kenaikan biaya sepuluh kali lipat, semuanya di bawah tagline "tumpukan penuh untuk pasar dan mesin yang bekerja." Postingan itu terbaca sangat berbeda begitu Anda memiliki pengungkapan Hexens di depan Anda, karena transaksi hampir gratis dan throughput besar yang dipromosikan Aptos adalah properti yang sama persis yang pertama kali dipertimbangkan oleh peneliti keamanan saat menghitung berapa banyak biaya yang sebenarnya bisa ditimbulkan oleh satu bug di inti rantai.

Setiap transaksi di Aptos membakar $APT. Pembaruan bulan baru:

• 232,5 ribu APT dibakar dalam 30 hari terakhir
• 1,4 juta total APT dibakar sejak mainnet
• +16 juta transaksi dalam sehari—rekor kuartalan baru
• 0,0005 dolar AS biaya tx rata-rata sejak kenaikan biaya 10x

Tumpukan penuh untuk pasar dan mesin yang bekerja. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 Juli 2026

Celah itu hidup di bawah kode yang diperiksa sebagian besar audit Aptos dibangun di atas Move, bahasa pemrograman yang dirancang khusus untuk membuat serangan semacam ini sulit dilakukan. Move memperlakukan token dan aset digital lainnya sebagai item yang dilindungi dan memeriksa, pada saat transaksi dijalankan, bahwa tidak ada yang ditangani sebagai jenis yang salah. Janji keamanan itu adalah bagian besar mengapa Aptos dan Sui sama-sama memasarkan Move sebagai lebih aman daripada lingkungan yang lebih lama. Kelemahan Hexens menyelinap di bawah janji itu alih-alih menerobosnya secara langsung. Secara sederhana, sistem tersebut sempat bekerja berdasarkan informasi usang dan akhirnya salah mengira satu jenis item on-chain sebagai item lain. Pakar keamanan menyebutnya "kebingungan tipe", masalah perangkat lunak lama di mana program membaca sesuatu sebagai tipe yang salah dan melewati pemeriksaan yang dimaksudkan untuk menghentikannya. Di blockchain, kekacauan itu berbahaya: penyerang dapat menyamarkan item berbahaya sebagai item yang sah dan menipu jaringan agar salah membaca siapa yang memiliki aset dan siapa yang diizinkan untuk memindahkannya. CTO Polygon Mudit Gupta meninjau bukti konsep secara independen dan memberi tahu CoinDesk bahwa itu berjalan seperti yang diklaim, dengan catatan bahwa beberapa kondisi harus terpenuhi terlebih dahulu. Datang dari kepala keamanan rantai saingan, hal itu memiliki bobot lebih dari apa pun yang bisa dikatakan Aptos atau Hexens sendiri. Mengapa biaya murah dan volume besar memperparah bug Throughput berhenti menjadi slogan pemasaran di sini dan mulai berperilaku sebagai pengganda risiko. Hexens menjalankan serangan terhadap sekelompok lebih dari 30 node validator, yang disiapkan untuk mencerminkan jaringan nyata, pada rig server yang berharga sekitar 3.000 dolar AS dan mewakili sekitar sepertiga dari set validator. Serangan itu berhasil 17 atau 18 kali dari 20 percobaan, tanpa akses orang dalam atau izin khusus yang diperlukan. Jika digabungkan dengan angka langsung, gambaran menjadi semakin tajam. Dengan biaya sepersekian sen per transaksi, membanjiri rantai dengan muatan berbahaya hampir gratis. Dengan 16 juta transaksi per hari, dengan blok yang dikonfirmasi dalam hitungan detik, penyerang yang bisa memalsukan aset hanya perlu waktu singkat untuk menciptakannya dan memindahkannya sebelum ada yang bereaksi. Kecepatan itu netral. Mesin yang sama yang membersihkan volume sah dalam hitungan detik akan membersihkan aksi mint-dan-transfer palsu dengan kecepatan yang sama, dan manusia yang menjalankan jaringan tidak bisa bereaksi secepat itu. Itulah bagian yang secara tidak sengaja ditekankan oleh postingan metrik burn. Dua angka yang sangat berbeda, dan mengapa kesenjangan itu penting Dua angka keluar dari ini, dan memperlakukannya sebagai satu adalah cara cerita menjadi terdistorsi. Angka yang lebih kecil adalah sekitar 250 juta dolar AS, nilai yang disimpan di aplikasi DeFi Aptos yang dinilai oleh firma independen Grego AI berada dalam risiko langsung. Angka yang lebih besar adalah 70 miliar dolar AS, dan itu hanya muncul begitu Anda mengikuti celah tersebut ke luar melalui jembatan lintas rantai seperti Wormhole dan LayerZero, sistem stablecoin, dan bursa yang memperdagangkan APT dan versi terbungkusnya. Jembatan adalah titik lemahnya. Mereka mengumpulkan aset dari beberapa rantai sekaligus, sehingga peristiwa aset palsu yang dimulai di Aptos bisa, dalam skenario terburuk yang dimodelkan, menguras uang yang awalnya berasal dari Ethereum. 70 miliar dolar AS adalah total skenario terburuk yang dibangun di atas tumpukan asumsi, bukan uang tunai yang pernah ada di sana untuk diambil dalam satu langkah bersih.

| Angka | Apa yang diwakilinya | Sumber | | --- | --- | --- | | 250 juta dolar AS | Nilai di aplikasi DeFi Aptos yang berisiko langsung | Grego AI | | 70 miliar dolar AS | Risiko sistemik skenario terburuk di seluruh jembatan, stablecoin, bursa | Hexens | | 3.000 dolar AS | Biaya server untuk mensimulasikan sekitar sepertiga validator | Hexens | | 1 juta dolar AS | Tingkat pembayaran hadiah bug maksimum Aptos | Program hadiah bug Aptos |

Aptos Labs tidak membantah laporan itu sendiri. Mereka mengonfirmasi pemberitahuan pada 25 Februari melalui program hadiah bug dan mengatakan masalah tersebut sudah sedang dikerjakan secara internal. Yang mereka perdebatkan adalah tingkat keparahannya, dengan alasan bahwa kondisi jaringan nyata membuat eksploitasi jauh lebih sulit dilakukan daripada yang tersirat dalam pengaturan uji, dan menempatkan eksploitabilitas dunia nyata pada "sangat rendah". Klaim itu langsung berbenturan dengan validasi independen Gupta, dan kedua posisi tersebut belum direkonsiliasi di depan publik. Ada kesenjangan kedua yang perlu ditandai, dan ini tentang insentif, bukan kode. Hadiahnya dibatasi pada 1 juta dolar AS. Eksploitasi semacam ini bisa mendatangkan kelipatan dari jumlah itu di pasar gelap, dan Hexens tetap mengungkapkannya, yang merupakan inti dari menjalankan program hadiah.

| Bacaan ancaman sistemik | Bacaan ketahanan | | --- | --- | | Pengaturan 3.000 dolar AS bisa mengancam lapis-1 tingkat atas | Ditambal dalam hitungan jam, tanpa gangguan jaringan | | Bug inti mengisyaratkan risiko kategori untuk rantai Move | Aptos mengatakan kondisi nyata membuat eksploitabilitas sangat rendah | | Satu celah bisa mencapai aset jembatan dan stablecoin | Hadiah mengarahkan hasil white-hat daripada penjualan |

Apa yang dilakukan grafik APT saat perdebatan berlangsung Para pedagang sebagian besar mengabaikannya. Pada grafik 4 jam Aptos/ USD dari Coinbase, yang ditarik melalui TradingView, APT berpindah tangan di dekat 0,635 dolar AS pada 7 Juli, bertahan di atas rata-rata pergerakan 50 periodenya di 0,6061 dolar AS dan garis 100 periodenya di 0,6147 dolar AS, sementara bertemu dengan rata-rata 200 periode di 0,6410 dolar AS sebagai resistensi di atas. Rata-rata pergerakan hanyalah harga penutupan rata-rata selama jumlah lilin tersebut, dan tata letak ini menunjukkan pantulan nyata yang belum membersihkan tren turun yang lebih besar, yang menyeret APT dari sekitar 1,00 dolar AS pada pertengahan Mei menjadi sekitar 0,55 dolar AS. RSI, alat ukur tekanan beli yang berkisar dari 0 hingga 100, berada di 58,77, di atas netral 50 tetapi tidak mendekati garis 70 yang menandakan pasar terlalu panas. CoinMarketCap mencatat APT naik 9,91 persen dalam seminggu di 0,6339 dolar AS, sehingga pengungkapan tersebut tampak seperti beban pada sentimen daripada pemicu penjualan nyata. Perbaikan yang bertahan lebih lama dari siklus berita ini Para pengembang memikul beban jangka pendek. Siapa pun yang menjalankan aplikasi di Aptos punya alasan untuk memeriksa ulang bagaimana kode mereka menangani kasus tepi yang ditemukan Hexens, dan investor besar mungkin tetap mempertahankan premi risiko yang sedikit lebih tinggi pada token berbasis Move seperti APT dan SUI sambil meninjau kembali fondasi jaringan. Namun, dua hal kemungkinan akan bertahan setelah liputan mereda. Yang pertama adalah batas hadiah. Batas 1 juta dolar AS terlihat semakin kecil dibandingkan nilai yang seharusnya dilindungi, dan proyek yang bersaing dengan pembeli pasar gelap mungkin tidak punya pilihan selain menaikkannya. Yang kedua adalah pergeseran dalam pertanyaan yang sebenarnya diajukan peneliti. Selama bertahun-tahun, hak membanggakan adalah tentang berapa banyak transaksi yang bisa didorong oleh sebuah rantai. Insiden ini mendorong fokus ke arah keterampilan sebaliknya: seberapa cepat sebuah jaringan bisa menghentikan dirinya sendiri. Rantai cepat semakin membutuhkan "saklar pemutus" otomatis yang membekukan transfer lintas rantai begitu ada yang tampak salah, karena begitu manusia menyadarinya, transaksi sudah terjadi. Aptos akan menjalankan eksperimen itu pada dirinya sendiri. Sebuah proposal untuk menyembunyikan detail transaksi hingga setelah dikonfirmasi, yang akan mempersulit front-running, sudah bergerak melalui pemungutan suara komunitas, sementara peningkatan lainnya mengejar waktu konfirmasi yang lebih cepat lagi. Setiap peningkatan itu menambah kecepatan dan menambah nilai yang dipertaruhkan, kombinasi yang sama yang ditunjukkan oleh pengungkapan Hexens dapat mengubah satu bug menjadi bug sistemik. Apakah momen keamanan Move berikutnya terbaca sebagai jaminan atau pengulangan kembali pada satu hal: apakah peningkatan ini dikirimkan dengan jenis pengaman bawaan yang diperjuangkan oleh episode ini.

Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan