Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
CFD
Деривативы CFD на акции США
Акции США
Доступ к реальным акциям США и ETF
Акции Гонконга
Торгуйте качественными акциями, котирующимися в Гонконге
Корейские акции
SK Hynix
Торгуйте реальными корейскими акциями и инвестируйте в популярные активы
Фьючерсы на акции
Высокое кредитное плечо, круглосуточная торговля
Токенизированные акции
Обеспечено реальными акциями
IPO Access
Откройте полный доступ к глобальным IPO акций
GUSD
Создать GUSD для получения доходности казначейских RWA
Мероприятия, связанные с акциями
Торгуйте популярными акциями и получайте щедрые эирдропы
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
IPO Access
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
20 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
Опасно! Специалисты по кибербезопасности обнаружили уязвимость в Aptos: 70 миллиардов долларов в криптовалюте под системным риском.
Компания по кибербезопасности Hexens обнаружила уязвимость type confusion в виртуальной машине Move блокчейна Aptos, вероятность успешной атаки приближается к 90%. По оценке Hexens, при злонамеренном использовании системный риск, затрагивающий кроссчейн-мосты, эмиссию стейблкоинов и биржи, может достичь 70 миллиардов долларов.
(Предыстория: главный юрисконсульт Grayscale Крейг Салм заявил, что уязвимость Zcash вряд ли будет использована до исправления)
(Дополнение: белые хакеры раскрыли 0-day уязвимость в Cosmos! Перезапуск узлов может привести к полной блокировке сети, но официальные лица сочли сообщение спамом)
Содержание
Toggle
Сервер стоимостью менее 3 000 долларов и команда белых хакеров — достаточно ли этого, чтобы поставить под угрозу криптоактивы на 70 миллиардов долларов? К такому выводу пришла компания Hexens в ходе смоделированной атаки на блокчейн Aptos. Исследователи воспроизвели атаку в условиях, приближенных к реальным условиям основной сети, с вероятностью успеха почти 90%.
Технический директор Hexens Ваэ Карапетян обнаружил эту уязвимость. Проблема, скрывающаяся в виртуальной машине Move (основной среде выполнения смарт-контрактов) Aptos, названа Hexens «stale-cache bug» (ошибка устаревшего кэша), приводящая к «type confusion».
Проще говоря, программное обеспечение вводится в заблуждение, принимая один тип ресурса в цепочке за другой. Аналогично в архитектуре Ethereum это позволило бы коду, контролируемому злоумышленником, напрямую записывать данные в хранилище других контрактов, полностью обходя гарантии безопасности типов, которые должен обеспечивать язык Move.
Сервер за 3 000 долларов, 18 успешных атак из 20 симуляций
Команда Карапетяна для проверки работоспособности уязвимости создала симуляционную среду, приближенную к масштабу основной сети: более 30 узлов валидаторов, распределение ставок, близкое к реальному, а также реальные транзакции и высокая конкуренция за выполнение. Стоимость развертывания всей среды составила всего около 3 000 долларов; в случае реальной атаки затраты были бы еще ниже, и не требуется никаких привилегий валидатора, внутренних знаний или особого доступа.
Команда провела около 20 тестов в симуляционной среде, успешными оказались 17–18, что соответствует почти 90% успеха. Даже в редких случаях 2–3 неудач сеть не останавливалась, и злоумышленник мог спокойно дождаться следующего окна для повторной атаки.
SEAL911 срочно вмешался, исправление за 48 часов
Hexens официально сообщила об уязвимости 25 февраля 2026 года через программу bug bounty Aptos.
Aptos заявила, что на момент получения сообщения команда уже занималась разделением этой проблемы. В тот же день добровольная аварийная команда криптоиндустрии «SEAL911» открыла операционный штаб; за последние годы эта команда стала ключевым первым уровнем реагирования на критические уязвимости в криптоэкосистеме.
Через несколько часов Aptos уведомила затронутые компании, днем позже проинформировала 4 основных дочерних проекта, приложив локальный proof of concept (PoC). К 27 февраля был опубликован публичный pull request с исправлением; Aptos подчеркнула, что до публичного коммита команда уже развернула исправление для частных валидаторов.
Официальный представитель Aptos заявил CoinDesk: «Когда мы получили уведомление 25 февраля через bug bounty, внутреннее разделение уже велось. Исправление было разработано, протестировано и развернуто в основной сети через несколько часов после обнаружения, весь процесс прошел без какого-либо воздействия на пользователей или средства».
«Почти невозможно использовать»? Сторонняя проверка опровергает официальное заявление
Однако подход Aptos к оценке явно расходится с оценкой Hexens. Aptos заявила CoinDesk: «Наш анализ показывает, что эта уязвимость в реальных условиях крайне трудноиспользуема». Hexens ответила, что до сих пор не получила никаких доказательных технических опровержений; единственное сомнение, высказанное официальными лицами, — это вероятностный характер самой уязвимости, что и должна решать техника «невооруженной калибровки».
Но результаты сторонней проверки, похоже, больше на стороне Hexens. Технический директор Polygon Мудит Гупта независимо изучил PoC и заявил: «Он работает, как заявлено, уязвимость логична... необходимо выполнить несколько условий, и, похоже, в основной сети они это сделали».
Другая независимая организация Grego AI, проверявшая PoC Hexens, отметила, что эта уязвимость позволяет похитить полномочия нескольких протоколов, включая LayerZero, Wormhole и кроссчейн-протокол USDC CCTP. Генеральный директор Grego AI Юстус Ханна прямо заявил: «Если злоумышленник получит эту уязвимость, он сможет забрать любую общую заблокированную стоимость (TVL), какую захочет».
От 250 миллионов до 70 миллиардов долларов: масштабирование оценки риска
Hexens оценивает прямой риск на Aptos, связанный с DeFi, токенизированными активами, инфраструктурой стейблкоинов и протоколами ликвидного стейкинга первого уровня, в «несколько миллиардов долларов»; Grego AI, исходя из почти 90% вероятности успеха атаки, оценивает прямую угрозу для нативной общей заблокированной стоимости Aptos примерно в 250 миллионов долларов, не включая кроссчейн-риски.
Если расширить взгляд на более широкий системный риск, Hexens дает цифру 70 миллиардов долларов, охватывающую кроссчейн-мосты, кроссчейн-системы сообщений, процессы управления эмиссией стейблкоинов и стоимость активов, доступных на централизованных биржах. Эта впечатляющая цифра основана на предположении, что злоумышленник массово эмитирует USDC, а затем перемещает активы через протокол кроссчейн-переводов Circle (CCTP) на другие цепи.
Однако Circle недавно заявил, что не будет замораживать активы без юридического разрешения; другими словами, при своевременном вмешательстве сторон вероятность полной реализации 70 миллиардов долларов невелика, но эта цифра все же демонстрирует масштаб проблемы.
Примечательно, что в языке Move ключевые разрешения протоколов, таких как чеканка стейблкоинов, управление кроссчейн-мостами и управление кредитными рынками, часто хранятся в виде «внутренних ресурсов». Если такие роли скомпрометированы, ущерб не ограничивается одним протоколом, а распространяется по цепочке доверия на все системы, которые от него зависят.
В ходе практического тестирования команда Hexens даже временно захватила роль, аналогичную «главному минтеру», и действовала по легальным путям управления, хотя в итоге остановилась перед фактической чеканкой, но этого достаточно, чтобы доказать, что такие роли должны быть включены в полную модель угроз. Исследователи считают, что основным путем к более широкому воздействию являются централизованные биржи, особенно мосты Aptos, соединяющие оончейн-активность с зачислением депозитов на биржи.