Уязвимость в Aptos: как её скорость расширила риск $70B

  • Hexens обнаружила критическую уязвимость в Aptos, которая была устранена до того, как были перемещены какие-либо средства.
  • Ошибка могла позволить атакующему подделывать активы и проталкивать их через мосты.
  • Aptos оспаривает степень критичности, однако CTO Polygon подтвердил proof-of-concept.
  • Случай возрождает дискуссию о on-chain circuit breakers на быстрых L1.

Одна из служб безопасности сообщила, что Aptos, один из самых быстрых блокчейнов уровня layer-1, в течение нескольких месяцев нес скрытую критическую уязвимость — и тихо исправил её. 4 июля Hexens публично раскрыла баг, который ранее 25 февраля сообщила Aptos конфиденциально: слабое место в движке, который запускает смарт-контракты цепочки; по собственной оценке Hexens, это создавало теоретический риск до $70 миллиардов по сценариям через мосты, стейблкоины и связанные биржи. Aptos Labs исправила его в течение нескольких часов после первого отчёта, и ни один пользовательский капитал так и не был затронут. Так почему же патч, которому пять месяцев, становится новостью сейчас? Две причины. Очевидно, число. Но также — деталь, лежащая под ним: то, что Aptos продаёт больше всего, — это «сырой» speed, а именно raw speed превращает $70 миллиардов из страшного заголовка в обоснованную оценку. Рекордный прорыв по пропускной способности — спустя день после публикации 5 июля, едва прошло 24 часа после релиза, официальный аккаунт проекта опубликовал запланированное ежемесячное обновление токеномики, сообщив, что за последние 30 дней было сожжено 232 500 APT; за один день — более 16 миллионов транзакций для нового квартального максимума; и средняя комиссия составила $0,0005 после десятикратного роста комиссий — всё под слоганом «полный стек для рынков и машин в работе». Этот пост звучит совсем иначе, если перед глазами есть раскрытие от Hexens: почти бесплатные транзакции и огромная пропускная способность, которые Aptos продвигает, — это ровно те свойства, которые исследователь безопасности оценивает в первую очередь, когда рассчитывает, во сколько на самом деле может обойтись один баг в базовом ядре цепочки.

Каждая транзакция в Aptos сжигает $APT. Новое обновление за месяц:

• 232,5 тыс. APT сожжено за последние 30D
• 1,4 млн APT сожжено с момента mainnet
• +16 млн транзакций за день — новый квартальный максимум
• $0,0005 средняя комиссия за tx с момента 10x роста комиссий

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 июля 2026 г.

Баг жил «ниже» кода, который проверяет большинство аудитов Aptos построен на Move — языке программирования, специально разработанном, чтобы сделать такой тип атаки сложным. Move рассматривает токены и другие цифровые активы как защищённые объекты и, в момент выполнения транзакции, проверяет, что с ними не выполняются операции не того типа. Это обещание безопасности — большая часть того, почему и Aptos, и Sui позиционируют Move как более безопасный по сравнению со старыми средами. Проблема Hexens проскочила под этим обещанием, а не «сломала» его напрямую. В простых терминах система ненадолго работала с устаревшей информацией и в итоге приняла один вид on-chain-объекта за другой. Специалисты по безопасности называют это «type confusion» — давняя проблема ПО, когда программа читает нечто как неправильный тип и проходит мимо проверок, которые должны были этому помешать. В блокчейне такой «смешанный» сценарий опасен: атакующий может замаскировать вредоносный объект под легитимный и заставить сеть неверно трактовать, кому принадлежит актив и кто имеет право передвигать его. CTO Polygon Mudit Gupta независимо рассмотрел proof-of-concept и сказал CoinDesk, что он работал так, как заявлено, с оговоркой, что для успеха должны сойтись несколько условий. Поскольку это пришло от руководителя по безопасности конкурирующей сети, это весит больше, чем всё, что Aptos или Hexens могли сказать сами. Почему дешёвые комиссии и огромный объём делают баг хуже Здесь пропускная способность перестаёт быть маркетинговой фразой и начинает вести себя как множитель риска. Hexens провела атаку на кластере из более чем 30 нод валидаторов, настроенных для имитации реальной сети, на серверной установке стоимостью примерно $3 000, которая представляла около трети набора валидаторов. Атака срабатывала 17 или 18 раз из 20 — без доступа инсайдеров и без особых разрешений. Если добавить живые цифры, картина становится резче. За доли цента за транзакцию «заливать» сеть вредоносными пакетами почти бесплатно. При 16 миллионах транзакций в день и подтверждениях блоков за секунды атакующему, который мог бы подделывать активы, нужен был бы лишь короткий промежуток, чтобы создать их и вывести, прежде чем кто-то отреагирует. Скорость нейтральна. Тот же движок, который в секунды «переваривает» легитимный объём, столь же быстро обработает фиктивный сценарий mint-и-transfer, а люди, управляющие сетью, не смогут реагировать так быстро. Именно это — часть, которую пост с burn-метриками непреднамеренно подсветил.

Два очень разных числа и почему разрыв важен Из этого вышли две цифры, и обращение с ними как с одной и той же величиной искажает историю. Меньшая — около $250 миллионов: стоимость активов в Aptos DeFi-приложениях, которые независимая фирма Grego AI оценивала как находящиеся под прямой угрозой. Большая — это $70 миллиардов: она появляется лишь после того, как последовательно проследить уязвимость наружу через кроссчейн-мосты вроде Wormhole и LayerZero, системы стейблкоинов и биржи, которые торгуют APT и его обёрнутыми версиями. Мосты — слабое место. Они собирают активы сразу из нескольких цепочек, поэтому событие с поддельными активами, стартовавшее в Aptos, в худшем смоделированном сценарии может «вытечь» в деньги, которые изначально пришли из Ethereum. $70 миллиардов — это наихудшая совокупная оценка, построенная на стеке предположений, а не наличные средства, которые когда-либо лежали там и ждали «одного чистого хода» для забора.

| Показатель | | --- | Что это означает | Источник | | --- | --- | | $250M | Стоимость в Aptos DeFi-приложениях под прямой угрозой | Grego AI | | $70B | Наихудший системный риск через мосты, стейблкоины, биржи | Hexens | | $3,000 | Стоимость сервера для имитации примерно трети валидаторов | Hexens | | $1M | Максимальная ступень выплат по bug bounty Aptos | Aptos bug bounty program |

Aptos Labs не спорит с самим фактом раскрытия. Она подтверждает уведомление от 25 февраля через программу bug bounty и говорит, что над проблемой уже работали внутри. Что оспаривается — это степень критичности: компания утверждает, что реальные условия сети делали эксплуатацию заметно сложнее, чем подразумевала тестовая конфигурация, и оценивает реальную реализуемость злоупотребления как «крайне низкую». Это заявление напрямую сталкивается с независимой валидацией Gupta, и эти позиции публично так и не были согласованы. Есть ещё один разрыв, который стоит отметить, и он относится не к коду, а к стимулам. Порог bounty — $1 миллион. Эксплуатация такого типа на чёрном рынке принесла бы во много раз больше, а Hexens раскрыла это всё равно — и в этом весь смысл размещения bounty.

| Интерпретация системной угрозы | | --- | Интерпретация устойчивости | | A $3,000 подготовка может угрожать топ-уровню layer-1 | Починено в течение часов, без сбоев в сети | | Базовая ошибка намекает на категорийный риск для цепочек на Move | Aptos говорит, что при реальных условиях эксплуатация была крайне низкой | | Одна уязвимость может затронуть активы мостов и стейблкоинов | Bounty направило outcome в пользу «white-hat», а не продажи |

Что делает график APT, пока идёт спор Трейдеры в основном отмахнулись от этого. На 4-часовом графике Aptos/USD на Coinbase,** полученном через TradingView,** 7 июля APT переходил из рук в руки около $0,635, удерживаясь выше 50-периодной скользящей средней на $0,6061 и линии 100-периода на $0,6147, при этом упираясь в 200-периодную среднюю на $0,6410 — как в верхнее сопротивление. Скользящая средняя — это просто средняя цена закрытия за заданное число свечей, и такая раскладка указывает на реальный отскок, который пока не пробил более крупный нисходящий тренд: именно он тянул APT с примерно $1,00 в середине мая до около $0,55. RSI, индикатор покупательного давления в диапазоне от 0 до 100, был на уровне 58,77: выше нейтральной отметки 50, но далёк от линии 70, сигнализирующей о перегретом рынке. **CoinMarketCap ** показал, что на неделе APT вырос на 9,91% до $0,6339, поэтому раскрытие выглядит скорее как фактор, давящий на настроения, а не как триггер для реальных распродаж. Исправление, которое переживёт этот цикл новостей Ближайшую нагрузку несут разработчики. Любой, кто запускает приложение на Aptos, имеет повод ещё раз проверить, как его код обрабатывает тот вид edge case, который нашла Hexens, а крупные инвесторы могут удерживать чуть более высокий риск-премиум для токенов на Move вроде APT и SUI, пока они снова смотрят на фундамент сети. Но, скорее всего, после затухания покрытия останутся две вещи. Первая — потолок bounty. Порог в $1 миллион выглядит всё более маленьким рядом со стоимостью того, что он должен защищать, и проектам, конкурирующим с покупателями на чёрном рынке, может почти не оставаться выбора, кроме как поднять его. Вторая — смещение самого вопроса, который исследователи задают на практике. Годы «пальму первенства» определяли тем, сколько транзакций сеть может пропускать. Этот инцидент сдвигает фокус в противоположную сторону: насколько быстро сеть может остановить сама себя. Быстрым цепочкам всё чаще нужны автоматические «kill switches», которые мгновенно замораживают кроссчейн-переводы, как только что-то выглядит неправильно, потому что после того, как это замечает человек, транзакции уже успевают пройти. Aptos вот-вот проведёт этот эксперимент над собой. Предложение скрывать детали транзакций до момента их подтверждения, что усложнило бы front-running, уже проходит через голосование сообщества, а другие апгрейды гонятся за ещё более быстрым временем подтверждения. Каждое из этих изменений добавляет скорость и добавляет цену риска, ту самую связку, которую раскрытие Hexens показало на примере того, как один баг может превратиться в системный. То, будет ли следующий момент безопасности Move читаться как заверение или как повтор, сводится к одному: поставляются ли эти обновления с тем уровнем встроенных защит, который данный эпизод привёл в качестве аргумента за.

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
Добавить комментарий
Добавить комментарий
Нет комментариев
  • Закреплено