Уязвимость Aptos: Как его скорость расширила риск $70B

  • Hexens обнаружила критический баг в Aptos, который устранили до перемещения активов.
  • Уязвимость могла позволить атакующему подделывать активы и перемещать их по мостам.
  • Aptos оспаривает серьёзность, но CTO Polygon подтвердил работоспособность прототипа.
  • Инцидент возобновляет дискуссию о встроенных «выключателях» в быстрых L1.

Специалисты по безопасности раскрыли, что Aptos, один из быстрых блокчейнов первого уровня, на протяжении месяцев содержал критическую уязвимость, пока её не устранили в тихом режиме. 4 июля компания Hexens обнародовала баг, о котором она сообщила конфиденциально Aptos ещё 25 февраля, — слабость в движке, выполняющем смарт-контракты сети, которая, по её оценкам, ставила под угрозу до 70 миллиардов долларов теоретического риска на мостах, стейблкоинах и связанных биржах. Aptos Labs устранила её в течение нескольких часов после первого отчёта, и средства пользователей не пострадали.

Почему же пятимесячный патч снова стал новостью? Две причины. Во-первых, сама цифра. Но также детали, стоящие за ней: самое громкое преимущество, которое рекламирует Aptos, — это скорость, и именно эта скорость превращает 70 миллиардов долларов из пугающего заголовка в обоснованную оценку.

Рекордная пропускная способность — спустя сутки после публикации истории
5 июля, меньше чем через 24 часа после отчёта, официальный аккаунт проекта опубликовал запланированное ежемесячное обновление токеномики, сообщив о сожжении 232 500 APT за последние 30 дней, более 16 миллионов транзакций за один день (новый квартальный максимум) и средней комиссии в $0,0005 после десятикратного повышения, — всё под слоганом «полный стек для рынков и машин в действии». Пост читается совершенно иначе, зная о разоблачении Hexens: почти бесплатные транзакции и огромная пропускная способность, которые рекламирует Aptos, — это именно те свойства, которые специалист по безопасности оценивает в первую очередь, рассчитывая, сколько на самом деле может стоить одна ошибка в ядре сети.

Каждая транзакция в Aptos сжигает $APT. Обновление за месяц:

• Сожжено 232,5 тыс. APT за последние 30 дней
• Всего сожжено 1,4 млн APT с момента запуска мейннета
• +16 млн транзакций за день — новый квартальный рекорд
• Средняя комиссия $0,0005 после десятикратного повышения

Полный стек для рынков и машин в действии. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 июля 2026 г.

Баг прятался под кодом, который проверяет большинство аудитов
Aptos работает на Move — языке программирования, специально спроектированном для защиты от таких атак. Move обрабатывает токены и другие цифровые активы как защищённые объекты и проверяет в момент выполнения транзакции, что ничто не обрабатывается как элемент не того типа. Это обещание безопасности — одна из главных причин, по которой Aptos и Sui позиционируют Move как более безопасную среду, чем старые языки.

Уязвимость Hexens обошла это обещание не лобовым взломом, а скрытой слабостью. Проще говоря, система временно работала на устаревшей информации и в итоге спутала один тип внутрицепочечного объекта с другим. Специалисты по безопасности называют это «путаницей типов» — старая проблема ПО, когда программа воспринимает данные как неверный тип и обходит проверки, предназначенные для его предотвращения. В блокчейне такая путаница опасна: злоумышленник может замаскировать вредоносный объект под легитимный и заставить сеть неправильно определить, кто владеет активом и кто имеет право его перемещать.

Технический директор Polygon Мудит Гупта независимо проверил прототип и сообщил CoinDesk, что он работает — с оговоркой, что должны совпасть несколько условий. Как руководитель службы безопасности конкурирующего блокчейна, он несёт больше веса, чем любые заявления Aptos или Hexens.

Почему дешёвые комиссии и огромный объём усугубляют баг
Пропускная способность перестаёт быть маркетинговой фразой и начинает действовать как множитель риска. Hexens провела атаку на кластер из более чем 30 узлов-валидаторов, настроенный как зеркало реальной сети, на сервере стоимостью около 3 000 долларов, который имитировал примерно треть валидаторского набора. Атака сработала в 17–18 случаях из 20, без привилегированного доступа или специальных разрешений.

Сложите с реальными показателями — и картина становится яснее. При комиссии в доли цента за транзакцию заливка сети вредоносными пакетами почти бесплатна. При 16 миллионах транзакций в день и подтверждении блоков за секунды злоумышленнику, способному подделывать активы, нужно лишь небольшое окно, чтобы создать их и переместить до реакции. Скорость нейтральна. Тот же движок, который за секунды обрабатывает легитимный объём, будет с той же скоростью обрабатывать поддельный выпуск и перевод, а люди, управляющие сетью, не могут реагировать так быстро.

Именно это сообщение под ценой проиллюстрировал пост о сожжении токенов.

Две очень разные цифры — и почему разрыв важен
Из этого вышли две цифры, и рассматривать их как одну — значит искажать историю. Меньшая — около 250 миллионов долларов — стоимость, находящаяся в DeFi-приложениях Aptos, которые независимая фирма Grego AI оценила как находящиеся под прямым риском. Большая — 70 миллиардов долларов — возникает только если проследить уязвимость через кроссчейн-мосты, такие как Wormhole и LayerZero, стейблкоиновые системы и биржи, торгующие APT и его обёрнутыми версиями.

Мосты — слабое место. Они объединяют активы с нескольких блокчейнов одновременно, поэтому событие с подделкой активов, начавшееся на Aptos, в худшем моделируемом случае может истощить средства, пришедшие из Ethereum. 70 миллиардов долларов — это расчёт по наихудшему сценарию, построенный на стопке допущений, а не на наличных, которые можно было бы захватить одним чистым движением.

| Цифра | Что она означает | Источник | |-------|-----------------|----------| | $250 млн | Стоимость в DeFi-приложениях Aptos, подверженных прямому риску | Grego AI | | $70 млрд | Системный риск по наихудшему сценарию через мосты, стейблкоины, биржи | Hexens | | $3 тыс. | Стоимость сервера для имитации трети валидаторов | Hexens | | $1 млн | Максимальный уровень выплаты за баг в программе баунти Aptos | Программа баунти Aptos |

Aptos Labs не оспаривает сам отчёт. Она подтверждает уведомление от 25 февраля через программу баунти и заявляет, что уже вела внутреннюю работу над проблемой. Оспаривается серьёзность: утверждается, что реальные сетевые условия делали эксплуатацию гораздо сложнее, чем в тестовой среде, и реальная возможность эксплуатации «чрезвычайно низка». Это утверждение сталкивается с независимой проверкой Гупты, и две позиции публично не согласованы.

Есть ещё один разрыв, который стоит отметить: он касается не кода, а стимулов. Вознаграждение ограничено $1 млн. Эксплойт такого типа принёс бы многократно больше на чёрном рынке, и Hexens всё равно раскрыла уязвимость — в этом и суть программы баунти.

| Прочтение как системной угрозы | Прочтение как устойчивости | |-------------------------------|----------------------------| | Сборка за $3 тыс. могла угрожать блокчейну топ-уровня | Устранено за часы, без нарушения сети | | Ядерная уязвимость намекает на категориальный риск для цепочек на Move | Aptos утверждает, что в реальных условиях эксплуатация крайне маловероятна | | Одна ошибка могла затронуть активы на мостах и стейблкоины | Баунти направило белое раскрытие вместо продажи |

Что показывает график APT, пока идут споры
Трейдеры в основном не обратили внимания. На 4-часовом графике Aptos/USD с Coinbase, взятом через TradingView, APT торговался около $0,635 7 июля, удерживаясь выше 50-периодной скользящей средней ($0,6061) и 100-периодной ($0,6147), упираясь в 200-периодную ($0,6410) как сопротивление. Скользящая средняя — это средняя цена закрытия за указанное количество свечей; текущее расположение указывает на реальный отскок, который ещё не пробил более крупный нисходящий тренд, утянувший APT примерно с $1,00 в середине мая до около $0,55.


RSI (индикатор давления покупок, от 0 до 100) находился на уровне 58,77 — выше нейтральной отметки 50, но далеко от уровня 70, сигнализирующего о перегретом рынке. CoinMarketCap показывает рост APT на 9,91% за неделю до $0,6339; таким образом, раскрытие выглядит скорее как груз на настроениях, а не триггер для реальных продаж.

Исправление, которое переживёт этот новостной цикл
Разработчики несут основную текущую нагрузку. Любой, кто запускает приложение на Aptos, имеет основания перепроверить, как его код обрабатывает такие граничные случаи, как нашла Hexens; крупные инвесторы, возможно, сохранят чуть более высокую премию за риск на токенах на базе Move (APT и SUI), пересматривая фундаментальные основы сети.

Однако две вещи, скорее всего, останутся после затухания освещения. Первое — потолок баунти. $1 млн выглядит всё меньше рядом со стоимостью, которую он призван защищать; проектам, конкурирующим с покупателями на чёрном рынке, возможно, придётся его повысить. Второе — сдвиг в вопросе, который исследователи на самом деле задают. Годы хвастовства касались того, сколько транзакций может пропустить цепочка. Этот инцидент смещает фокус на противоположное умение: как быстро сеть может остановиться. Быстрым цепочкам всё чаще требуются автоматические «выключатели», которые замораживают кроссчейн-переводы в тот момент, когда что-то идёт не так, потому что, когда человек замечает проблему, транзакции уже прошли.

Aptos собирается провести этот эксперимент на себе. Предложение скрывать детали транзакций до их подтверждения, что усложнит фронтраннинг, уже проходит голосование сообщества, а другие обновления нацелены на ещё более быстрое время подтверждения. Каждое из них добавляет скорость — и добавляет стоимость под риском — ту самую комбинацию, которую раскрытие Hexens показало способной превратить единственную ошибку в системную. Станет ли следующий момент безопасности Move ободрением или повторением, зависит от одного: будут ли эти обновления выпущены со встроенными защитными механизмами, которые этот инцидент показал необходимыми.

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено