Kerentanan Aptos: Bagaimana Kecepatannya Memperlebar Risiko $70B

  • Hexens menemukan celah kritis di Aptos yang ditambal sebelum dana apa pun berpindah.
  • Bug itu bisa memungkinkan penyerang memalsukan aset dan mendorongnya melintasi jembatan.
  • Aptos menyangkal tingkat keparahannya, namun CTO Polygon memvalidasi bukti konsep.
  • Kasus ini menghidupkan kembali argumen soal circuit breaker on-chain di fast L1.

Sebuah firma keamanan telah mengungkapkan bahwa Aptos, salah satu blockchain layer-1 yang lebih cepat, membawa celah kritis selama berbulan-bulan sebelum akhirnya diperbaiki secara diam-diam. Pada 4 Juli, Hexens mempublikasikan bug yang sebelumnya telah dilaporkannya secara privat ke Aptos pada 25 Februari, sebuah kelemahan pada mesin yang menjalankan smart contract rantai tersebut yang menurut penilaiannya sendiri menempatkan sekitar $70 miliar risiko teoretis dalam permainan lintas jembatan, stablecoin, dan exchange terkait. Aptos Labs menambalnya dalam hitungan jam setelah laporan pertama tersebut, dan tidak ada dana pengguna yang pernah tersentuh. Lalu kenapa patch berusia lima bulan itu baru jadi berita sekarang? Dua alasan. Yang pertama jelas, angkanya. Namun juga detail yang mendasarinya: hal yang Aptos paling gencar pasarkan adalah kecepatan mentah, dan kecepatan mentah inilah yang mengubah $70 miliar dari sekadar judul menakutkan menjadi estimasi yang bisa dipertanggungjawabkan. Klaim rekor throughput, sehari setelah cerita meledak Pada 5 Juli, hanya berselang kurang dari 24 jam setelah laporan itu, akun resmi proyek melanjutkan pembaruan tokenomik bulanan terjadwal-nya, melaporkan 232.500 APT dibakar selama 30 hari terakhir, lebih dari 16 juta transaksi dalam satu hari untuk rekor kuartal baru, serta biaya rata-rata $0,0005 setelah kenaikan biaya sepuluh kali, semuanya dengan tagar “the full stack for markets and machines at work.” Post itu terbaca sangat berbeda setelah Anda menempatkan pengungkapan Hexens di depan Anda, karena transaksi yang hampir gratis dan throughput besar yang dipromosikan Aptos adalah sifat yang sama persis dengan apa yang pertama kali dipertimbangkan peneliti keamanan saat menghitung berapa biaya aktual yang bisa ditimbulkan satu bug di inti rantai.

Setiap transaksi di Aptos membakar $APT. Pembaruan bulan baru:

• 232,5K APT dibakar dalam 30H terakhir
• 1,4M total APT dibakar sejak mainnet
• +16M transaksi dalam sehari—rekor kuartal baru
• $0,0005 biaya rata-rata tx sejak kenaikan 10x

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 Juli 2026

Bug bersembunyi di bawah kode yang dicek mayoritas audit Aptos dibangun dengan Move, bahasa pemrograman yang dirancang khusus untuk membuat jenis serangan ini sulit. Move memperlakukan token dan aset digital lainnya sebagai item yang dilindungi serta memeriksa, pada saat sebuah transaksi berjalan, bahwa tidak ada yang sedang ditangani sebagai tipe yang salah. Jaminan keselamatan itu menjadi bagian besar dari mengapa Aptos dan Sui sama-sama memasarkan Move sebagai lebih aman dibanding lingkungan yang lebih lama. Kelemahan Hexens justru menyelinap di bawah jaminan itu, alih-alih mematahkan jaminan tersebut secara langsung. Secara sederhana, sistem sebentar bekerja dari informasi yang sudah ketinggalan dan akhirnya mengira satu jenis item on-chain sebagai jenis lainnya. Orang-orang keamanan menyebutnya “type confusion,” masalah perangkat lunak lama ketika sebuah program membaca sesuatu dengan tipe yang keliru dan langsung melewati pemeriksaan yang seharusnya mencegahnya. Di sebuah blockchain, kekeliruan semacam itu berbahaya: penyerang bisa menyamarkan item berbahaya sebagai item yang sah dan menipu jaringan agar keliru membaca siapa pemilik aset dan siapa yang diizinkan memindahkannya. Polygon CTO Mudit Gupta meninjau bukti konsep itu secara independen dan mengatakan kepada CoinDesk bahwa bukti tersebut berjalan sesuai klaim, dengan catatan bahwa beberapa kondisi harus selaras terlebih dahulu. Berasal dari kepala keamanan rantai rival, penilaian itu berbobot lebih besar dibanding apa pun yang Aptos atau Hexens bisa katakan sendiri. Kenapa biaya murah dan volume besar membuat bug makin parah Throughput di sini berhenti menjadi sekadar jargon pemasaran dan mulai berperilaku seperti pengali risiko. Hexens menjalankan serangan terhadap klaster lebih dari 30 node validator, disiapkan untuk mencerminkan jaringan sebenarnya, pada rig server yang biayanya sekitar $3.000 dan mewakili kira-kira sepertiga dari kumpulan validator. Itu berhasil 17 atau 18 kali dari 20, tanpa akses orang dalam atau izin khusus yang diperlukan. Masukkan angka real di lapangan, gambarnya makin tajam. Dengan hanya pecahan sen per transaksi, membanjiri rantai dengan muatan berbahaya terasa nyaris gratis. Dengan 16 juta transaksi per hari, dan blok yang dikonfirmasi dalam hitungan detik, penyerang yang bisa memalsukan aset hanya butuh jendela waktu singkat untuk membuatnya dan memindahkannya sebelum siapa pun bereaksi. Kecepatan itu netral. Mesin yang sama yang membersihkan volume sah dalam hitungan detik juga akan membersihkan pemalsuan mint-dan-transfer dengan kecepatan yang sama, dan manusia yang menjalankan jaringan tidak bisa bereaksi secepat itu. Bagian itulah yang tanpa sengaja digarisbawahi oleh unggahan metrik pembakaran. Dua angka yang sangat berbeda, dan mengapa celahnya penting Dua angka keluar dari sini, dan memperlakukan keduanya sebagai satu adalah cara cerita itu terdistorsi. Yang lebih kecil nilainya sekitar $250 juta, nilai yang ditampung aplikasi Aptos DeFi yang menurut firma independen Grego AI berisiko langsung. Yang lebih besar adalah $70 miliar, dan itu baru muncul saat Anda menelusuri kelemahan itu ke luar lewat jembatan lintas-chain seperti Wormhole dan LayerZero, sistem stablecoin, serta exchange yang memperdagangkan APT dan versi wrapped-nya. Jembatan adalah titik lemah. Mereka mengumpulkan aset dari beberapa rantai sekaligus, sehingga peristiwa aset palsu yang dimulai di Aptos, dalam skenario terburuk yang dimodelkan, bisa menguras uang yang awalnya berasal dari Ethereum. $70 miliar adalah total risiko sistemik skenario terburuk yang dibangun di atas tumpukan asumsi, bukan uang tunai yang pernah benar-benar sudah ada di sana untuk direbut dalam satu langkah bersih.

| Angka | | --- | | Apa yang diwakili | | Sumber | | --- | --- | --- | | $250M | Nilai di aplikasi Aptos DeFi yang berisiko langsung | Grego AI | | $70B | Risiko sistemik terburuk lintas jembatan, stablecoin, exchange | Hexens | | $3,000 | Biaya server untuk mensimulasikan kira-kira sepertiga validator | Hexens | | $1M | Batas tier pembayaran maksimum bug bounty Aptos | Program bug bounty Aptos |

Aptos Labs tidak membantah laporan itu sendiri. Mereka mengonfirmasi notifikasi 25 Februari melalui program bug bounty dan mengatakan masalah itu sudah dikerjakan secara internal. Yang diperdebatkan adalah tingkat keparahannya, dengan berargumen bahwa kondisi jaringan nyata membuat eksploit jauh lebih sulit dilakukan dibanding yang tersirat oleh pengaturan uji, serta menempatkan keteraplikasian eksploit di dunia nyata pada “sangat rendah.” Klaim itu langsung bertabrakan dengan validasi independen Gupta, dan dua posisi tersebut belum diselaraskan di ruang publik. Ada celah kedua yang layak disoroti, dan itu berkaitan dengan insentif ketimbang kode. Batas bounty adalah $1 juta. Eksploit jenis ini akan menghasilkan kelipatan dari angka itu di pasar gelap, dan Hexens tetap mengungkapkannya—yang merupakan inti dari menjalankan bounty.

| Pembacaan ancaman-sistem | | --- | | Pembacaan ketahanan | | --- | --- | | Setup $3.000 bisa mengancam layer-1 peringkat teratas | Ditambal dalam hitungan jam, tanpa gangguan jaringan | | Bug inti menandakan risiko kategori untuk rantai Move | Aptos mengatakan kondisi nyata membuat eksploitabilitas sangat rendah | | Satu celah bisa menjangkau aset jembatan dan stablecoin | Bounty mengarahkan hasil white-hat ketimbang penjualan |

Apa yang dilakukan grafik APT saat perdebatan berlangsung Para trader pada umumnya menganggapnya enteng. Pada grafik Aptos/USD 4 jam dari Coinbase, yang diambil melalui TradingView, APT berpindah tangan di sekitar $0,635 pada 7 Juli, bertahan di atas moving average periode ke-50 di $0,6061 dan garis periode ke-100 di $0,6147, sambil bertemu rata-rata periode ke-200 di $0,6410 sebagai resistensi di bagian atas. Moving average hanyalah rata-rata harga penutupan dari sekian candle tersebut, dan susunan ini mengarah pada pantulan nyata yang belum melewati downtrend besar yang lebih dalam, yang telah menarik APT dari sekitar $1,00 pada pertengahan Mei menjadi sekitar $0,55. RSI, indikator tekanan beli yang bergerak dari 0 hingga 100, berada di 58,77, di atas level netral 50 namun tidak mendekati garis 70 yang menandai pasar yang kepanasan. CoinMarketCap menempatkan APT naik 9,91 persen sepanjang pekan di $0,6339, jadi pengungkapan itu terlihat lebih seperti beban pada sentimen ketimbang pemicu penjualan riil. Perbaikan yang melampaui siklus berita ini Para pembangun memikul beban jangka pendek. Siapa pun yang menjalankan aplikasi di Aptos punya alasan untuk memeriksa ulang bagaimana kode mereka menangani jenis edge case yang ditemukan Hexens, dan investor besar mungkin akan mempertahankan sedikit premi risiko lebih tinggi pada token berbasis Move seperti APT dan SUI sambil meninjau lagi fondasi jaringan. Namun ada dua hal yang kemungkinan akan tetap bertahan setelah liputan memudar. Pertama adalah batas bounty. Limit $1 juta terlihat kian kecil dibanding nilai yang seharusnya dilindungi, dan proyek yang bersaing dengan pembeli pasar gelap mungkin punya sedikit pilihan selain menaikkannya. Kedua adalah pergeseran pada pertanyaan yang benar-benar diajukan peneliti. Selama bertahun-tahun, hak membanggakan berfokus pada berapa banyak transaksi yang bisa didorong sebuah rantai. Insiden ini menggeser fokus ke keterampilan yang berlawanan: seberapa cepat sebuah jaringan bisa menghentikan dirinya sendiri. Rantai cepat semakin membutuhkan “kill switch” otomatis yang membekukan transfer lintas-chain seketika sesuatu terlihat salah, karena begitu manusia menyadarinya, transaksi sudah terlanjur berjalan. Aptos akan segera menguji eksperimen itu pada dirinya sendiri. Proposal untuk menyembunyikan detail transaksi sampai setelah mereka mengonfirmasi, yang akan mempersulit front-running, sudah bergerak melalui pemungutan suara komunitas, sementara upgrade lain mengejar waktu konfirmasi yang bahkan lebih cepat. Setiap langkah tersebut menambah kecepatan dan menambah nilai yang dipertaruhkan, kombinasi yang sama yang ditunjukkan oleh pengungkapan Hexens: sebuah bug tunggal dapat berubah menjadi risiko sistemik. Apakah momen keamanan Move berikutnya dibaca sebagai penegasan atau justru pengulangan datang down to satu hal: apakah upgrade-upgrade ini dikirim dengan jenis pagar pengaman bawaan yang menjadi dasar pembuktian oleh episode ini.a

Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
Tambahkan komentar
Tambahkan komentar
Tidak ada komentar
  • Disematkan