Уязвимость в Aptos: как его скорость расширила $70B риск

  • Hexens обнаружила критическую уязвимость в Aptos, которую успели исправить до того, как были перемещены какие-либо средства.
  • Ошибка могла позволить злоумышленнику подделывать активы и проталкивать их через мосты.
  • Aptos оспаривает серьёзность, однако CTO Polygon подтвердил proof-of-concept.
  • Дело возвращает спор о ончейн-аварийных “схемах отключения” на быстрых L1.

Серьёзная компания-разработчик безопасности сообщила, что Aptos, один из самых быстрых блокчейнов уровня 1, держал у себя критическую уязвимость на протяжении нескольких месяцев, прежде чем её тихо устранили. 4 июля Hexens публично заявила о баге, который направляла Aptos конфиденциально ещё 25 февраля: о слабости в движке, который запускает смарт-контракты цепочки. По собственной оценке Hexens, эта уязвимость могла поставить в игру до $70 миллиардов теоретического риска через мосты, стейблкоины и связанные биржи. Aptos Labs исправила её в течение нескольких часов после первого сообщения, и при этом не были затронуты средства пользователей. Так почему патч, которому пять месяцев, стал новостью сейчас? Две причины. Очевидно — масштаб. Но также и деталь, лежащая под этим: Aptos сильнее всего продаёт “сырой” скоростью, а именно она превращает $70 миллиардов из пугающего заголовка в аргументируемую оценку. Рекорд по пропускной способности — через день после публикации 5 июля, спустя чуть больше 24 часов после сообщения, официальный аккаунт проекта перешёл к запланированному ежемесячному обновлению токеномики: отчитался о сожжении 232 500 APT за последние 30 дней, о более чем 16 миллионах транзакций за один день — новый квартальный максимум — и о средней комиссии $0,0005 после десятикратного повышения комиссий. Всё это сопровождалось слоганом “the full stack for markets and machines at work.” Пост выглядит иначе, если перед глазами есть disclosure Hexens: почти бесплатные транзакции и огромная пропускная способность, которые Aptos продвигает, — это те же свойства, которые исследователь безопасности оценивает в первую очередь, когда рассчитывает, сколько реально может стоить один баг в основе цепочки.

Каждая транзакция в Aptos сжигает $APT. Новое обновление за месяц:

• 232,5 тыс. APT сожжено за последние 30 дней
• 1,4 млн всего APT сожжено с момента запуска mainnet
• +16 млн транзакций за день — новый квартальный максимум
• $0,0005 средняя комиссия за tx с 10-кратного роста

Полный стек для рынков и машин в работе. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 июля 2026 г

Баг жил “под” кодом, который проверяют большинство аудитов Aptos построен на Move — языке программирования, специально разработанном, чтобы сделать этот тип атак сложным. Move рассматривает токены и другие цифровые активы как защищённые объекты и проверяет, в момент выполнения транзакции, что с ними не работают как с объектом неправильного типа. Это обещание безопасности — важная причина, почему и Aptos, и Sui продвигают Move как более безопасную среду, чем более старые варианты. Изъян Hexens проскользнул под это обещание, а не сломал его напрямую. Если простыми словами, система на короткое время работала с устаревшей информацией и в итоге приняла один тип ончейн-объекта за другой. Специалисты по безопасности называют это “type confusion” — старая проблема ПО, когда программа считывает что-то не тем типом и проходит мимо проверок, предназначенных, чтобы остановить это. В блокчейне такая путаница опасна: злоумышленник мог бы замаскировать вредоносный объект под легитимный и заставить сеть неправильно определить, кто владеет активом и кто имеет право перемещать его. CTO Polygon Мудит Гупта независимо рассмотрел proof-of-concept и сказал CoinDesk, что он работал так, как заявлено, с оговоркой, что для этого должны совпасть несколько условий. Принятое во внимание — это мнение главного специалиста по безопасности конкурирующей сети, оно весит больше, чем любые заявления Aptos или Hexens по отдельности.

Почему дешёвые комиссии и огромный объём делают баг хуже Здесь пропускная способность перестаёт быть маркетинговой фразой и начинает вести себя как множитель риска. Hexens проводила атаку на кластере более чем 30 валидаторных узлов, настроенных так, чтобы зеркалировать реальную сеть, на серверном оборудовании примерно за $3 000 — оно заменяло примерно треть состава валидаторов. Атака срабатывала в 17 или 18 случаях из 20, не требуя доступа инсайдера или специальных разрешений. Добавьте к этому “живые” цифры — и картинка становится резче. За доли цента за транзакцию “заливка” цепочки вредоносными полезными нагрузками почти бесплатна. При 16 миллионах транзакций в день, когда блоки подтверждаются за секунды, злоумышленнику, способному подделывать активы, хватило бы короткого окна, чтобы создать их и вывести до реакции кого-либо. Скорость нейтральна. Тот же движок, который быстро пропускает легитимный объём, так же быстро обработал бы фальшивую серию mint-and-transfer, а люди, управляющие сетью, не способны реагировать так быстро. Именно это, похоже, случайно подчеркнул пост про “сожжения”.

Две очень разные цифры и почему разрыв важен Вышли две цифры, и трактовать их как одну — значит искажать историю. Меньшая — около $250 миллионов: стоимость активов, находящихся в DeFi-приложениях Aptos, которые независимая компания Grego AI посчитала находящимися под прямым риском. Большая — $70 миллиардов: она появляется только после того, как вы “раскрываете” слабость наружу через кроссчейн-мосты вроде Wormhole и LayerZero, системы стейблкоинов и биржи, где торгуются APT и его обёрнутые версии. Мосты — слабое место. Они объединяют активы сразу нескольких цепочек, поэтому событие с поддельными активами, стартующее в Aptos, в худшем смоделированном случае может вывести деньги, которые изначально пришли из Ethereum. $70 миллиардов — это оценка худшего сценария, построенная на стопке допущений, а не наличные, которые где-то “просто лежали” и их можно было бы забрать одним чистым движением.

| Показатель | | --- | Что он отражает | Источник | | --- | --- | --- | | $250M | Стоимость в DeFi-приложениях Aptos, находящаяся под прямым риском | Grego AI | | $70B | Системный риск в худшем случае через мосты, стейблкоины, биржи | Hexens | | $3,000 | Стоимость сервера для симуляции примерно трети валидаторов | Hexens | | $1M | Максимальная ступень выплаты за баг в программе | Программа bug bounty Aptos |

Aptos Labs не оспаривает сам факт отчёта. Она подтверждает уведомление от 25 февраля через программу bug bounty и говорит, что проблема уже разрабатывалась внутри. Спор идёт о серьёзности: Aptos утверждает, что реальные условия сети сделали эксплойт гораздо труднее, чем подразумевала тестовая установка, и оценивает реальную пригодность эксплойта к применению в “крайне низкую”. Это заявление напрямую сталкивается с независимой валидацией Гупты, и две позиции публично так и не примирили. Есть ещё один разрыв, на который стоит обратить внимание: он про стимулы, а не про код. Награда ограничена $1 миллионом. Эксплойт такого типа на чёрном рынке принёс бы многократные суммы, и Hexens раскрыла его — в этом и заключается весь смысл запуска bounty.

| Чтение системной угрозы | | --- | Чтение про устойчивость | | A $3,000 установка может угрожать топовому L1 | Исправили в течение часов, без сбоев сети | | Базовая ошибка намекает на риск категории у Move-цепочек | Aptos говорит, что реальные условия делают эксплойтабельность очень низкой | | Одна уязвимость может добраться до активов мостов и стейблкоинов | Bounty направил исход в пользу “white-hat”, а не продажи | | Что делает APT-график, пока идёт спор |

Трейдеры в основном отмахнулись от этого. На 4-часовом графике Aptos/USD от Coinbase,** полученном через TradingView,** APT переходил из рук в руки около $0,635 7 июля, удерживаясь выше 50-периодной скользящей средней на $0,6061 и линии 100-периодов на $0,6147, при этом наталкиваясь на среднюю 200-периодную на $0,6410 как на “сопротивление сверху”. Скользящая средняя — это просто средняя цена закрытия по стольким свечам, а такая раскладка указывает на реальный отскок, который пока не пробил более крупный нисходящий тренд: именно он сдвинул APT примерно с $1,00 в середине мая до примерно $0,55. RSI — индикатор давления покупателей от 0 до 100 — был на 58,77: выше нейтральной отметки 50, но далеко не на уровне 70, который сигналит о перегретом рынке. **CoinMarketCap ** показал APT выше на 9,91% за неделю на $0,6339, так что раскрытие выглядит скорее как “вес” для настроений, чем триггер реальных продаж.

Исправление, которое переживёт этот новостной цикл На себя “в ближайшее время” ложится нагрузка у разработчиков. Любой, кто запускает приложение в Aptos, имеет повод перепроверить, как его код обрабатывает тот edge case, который нашли Hexens; а крупные инвесторы могут держать чуть более высокий риск-премиум для токенов на Move вроде APT и SUI, пока присматриваются к основаниям сети. Но после того как ажиотаж от публикаций уйдёт, скорее всего, останутся две вещи. Первое — потолок bounty. Порог $1 миллиона выглядит всё более небольшим рядом со стоимостью того, что он должен защищать, и проектам, которые конкурируют с покупателями на чёрном рынке, может не остаться выбора кроме как поднять его. Второе — сдвиг в самом вопросе, который теперь задают исследователи. Годы “право похвастаться” было про то, сколько транзакций цепочка может проталкивать. Этот инцидент сдвигает фокус в противоположную сторону: как быстро сеть может остановить себя. Быстрым цепочкам всё чаще нужны автоматические “kill switches”, которые замораживают кроссчейн-переводы в момент, когда что-то начинает выглядеть неправильно, потому что после того, как человек это заметит, транзакции уже будут проведены. Aptos скоро проведёт этот эксперимент на себе. Предложение скрывать детали транзакций до момента их подтверждения — это затруднило бы front-running — уже проходит через голосование в сообществе, а другие улучшения нацелены на ещё более быстрые времена подтверждения. Каждое из этих улучшений добавляет скорость — и одновременно увеличивает цену, которая стоит на кону: то же сочетание, которое показало раскрытие Hexens — способно превратить один баг в системный. Будет ли следующее “момент безопасности” для Move выглядеть как успокоение или повтор — зависит от одной вещи: будут ли эти обновления поставляться с теми встроенными защитами, которые этот эпизод обосновал.d

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено