Ф'ючерси
Сотні безстрокових контрактів
CFD
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
CFD
CFD-деривативи на акції США
Акції США
Отримайте доступ до реальних акцій США та ETF
Акції Гонконгу
Торгуйте якісними акціями з лістингом у Гонконгу
Корейські акції
SK Hynix
Торгуйте реальними корейськими акціями та інвестуйте в популярні активи
Ф'ючерси на акції
Високе кредитне плече, торгівля 24/7
Токенізовані акції
Забезпечено реальними фондовими активами
IPO Access
Отримайте повний доступ до глобальних IPO акцій
GUSD
Мінтіть GUSD для отримання дохідності від казначейських RWA
Активності з акціями
Торгуйте популярними акціями та відкривайте щедрі аірдропи
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
IPO Access
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Gate Wealth
візьміть під контроль своє фінансове майбутнє
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
Кредитне плече без ліквідації
USD1 9% річних
Стейкінг в 1 клік, дохід щодня
Акції
Центр діяльності
Беріть учать та отримуйте винагороди
Реферал
20 USDT
Запрошуйте друзів та отримуйте бонуси
Партнерська програма
Ексклюзивні комісійні винагороди
Gate Booster
Зростайте та отримуйте аірдропи
Оголошення
Оновлення платформи в реальному часі
Блог Gate
Статті про криптоіндустрію
VIP послуги
Величезні знижки на комісії
Управління активами
Універсальне рішення для управління активами
Інституційний
Рішення цифрових активів для бізнесу
Розробники (API)
Підключається до екосистеми додатків Gate
Позабіржовий банківський переказ
Поповнюйте та виводьте фіат
Брокерська програма
Щедрі механізми знижок API
AI
Gate AI
Ваш універсальний AI-помічник для спілкування
Gate AI Bot
Використовуйте Gate AI безпосередньо у своєму соціальному додатку
GateClaw
Gate Блакитний Лобстер — готовий до використання
Gate for AI Agent
AI-інфраструктура, Gate MCP, Skills і CLI
Gate Skills Hub
Понад 10 000 навичок
Від офісу до трейдингу: універсальна база навичок для ефективнішої роботи з AI
Небезпека! Компанія з кібербезпеки виявила вразливість в Aptos: 70 мільярдів доларів криптовалюти перебуває під системним ризиком.
Білі хакери компанії з кібербезпеки Hexens виявили вразливість типу плутанини (type confusion) у віртуальній машині Move блокчейну Aptos, ймовірність успішної атаки наближається до 90%.
(Попередній контекст: головний юридичний директор Grayscale Крейг Сальм заявив, що вразливість Zcash навряд чи буде використана до виправлення)
(Додаткова інформація: білі хакери викрили приховану 0-day вразливість у Cosmos! Перезапуск вузлів може призвести до повного блокування та паралічу, але офіційні особи проігнорували повідомлення як спам)
Зміст цієї статті
Перемикач
Сервер за 3000 доларів, 18 успішних атак із 20 симуляцій
Команда Karapetyan, щоб підтвердити реальність вразливості, створила власне симуляційне середовище, близьке до масштабу основної мережі: понад 30 вузлів-валідаторів, розподіл стейкінгу, близький до реального, реальний обсяг транзакцій та висока конкуренція виконання. Вартість створення цього середовища становила лише близько 3000 доларів; у разі реальної атаки витрати були б ще нижчими, і не потрібні були б привілеї валідатора, внутрішні знання чи будь-який спеціальний доступ.
Команда провела близько 20 тестів у симуляційному середовищі, з яких 17-18 були успішними, що дає ймовірність близько 90%. Навіть якщо 2-3 рази не вдавалося, мережа не зупинялася, і зловмисник міг спокійно чекати наступного вікна для повторної атаки.
SEAL911 працював усю ніч, виправлення за 48 годин
Hexens повідомила про вразливість через програму bug bounty Aptos 25 лютого 2026 року.
Aptos заявила, що на момент отримання повідомлення внутрішня команда вже працювала над цим питанням. Того ж дня волонтерська команда екстреного реагування криптоіндустрії «SEAL911» відкрила оперативний штаб; ця команда стала ключовим першим ешелоном реагування на серйозні вразливості в екосистемі криптовалют.
Через кілька годин Aptos повідомила постраждалі сторони, а вдень того ж дня поінформувала 4 основні залежні проекти, надавши концептуальне підтвердження (PoC), яке можна виконати локально. До 27 лютого було опубліковано публічний запит на виправлення (pull request); Aptos підкреслила, що перед публічним комітом команда вже розгорнула виправлення на приватних валідаторах.
Офіційний представник Aptos заявив CoinDesk: «Коли 25 лютого через bug bounty надійшло повідомлення, внутрішня команда вже працювала над цим. Виправлення було розроблено, протестовано та розгорнуто в основній мережі протягом кількох годин після виявлення, жоден користувач чи кошти не постраждали.»
«Майже неможливо використати»? Стороннє підтвердження суперечить офіційній версії
Однак офіційна позиція Aptos значно відрізняється від оцінки Hexens. Aptos заявила CoinDesk: «Наш аналіз показує, що цю вразливість у реальних умовах надзвичайно важко використати.» Hexens відповіла, що досі не отримала жодних технічних спростувань, заснованих на доказах; єдине занепокоєння, висловлене офіційними особами, — це ймовірнісний характер самої вразливості, який і має вирішити техніка «неозброєного калібрування».
Але результати стороннього підтвердження схиляються на бік Hexens. Керівник технічного відділу Polygon Мудіт Гупта, незалежно перевіривши концептуальне підтвердження, зазначив: «Воно працює так, як заявлено, вразливість логічна... Потрібно виконати кілька умов, і, схоже, вони досягли цього в основній мережі.»
Інша незалежна організація, Grego AI, яка перевірила PoC Hexens, зазначила, що ця вразливість дозволяє викрасти повноваження багатьох протоколів, включаючи LayerZero, Wormhole та CCTP (міжланцюговий протокол USDC). Генеральний директор Grego AI Джастус Ханна прямо заявив: «Якби зловмисник отримав цю вразливість, він міг би забрати будь-яку загальну заблоковану вартість (TVL), яку забажає.»
Від 250 мільйонів до 70 мільярдів доларів: масштабування оцінки ризику
Hexens оцінює прямий вплив на Aptos (DeFi, токенізовані активи, інфраструктура стейблкоїнів та ліквідний стейкінг) у «десятки мільярдів доларів»; Grego AI, виходячи з майже 90% ймовірності успішної атаки, оцінює, що близько 250 мільйонів доларів рідної загальної заблокованої вартості (TVL) Aptos перебувають під безпосередньою загрозою, не враховуючи міжланцюговий вплив.
Якщо розширити перспективу до системного ризику, Hexens наводить цифру в 70 мільярдів доларів, що охоплює міжланцюгові мости, міжланцюгові системи обміну повідомленнями, процеси випуску стейблкоїнів і вартість активів, доступних на централізованих біржах. Ця вражаюча цифра базується на сценарії, де зловмисник масово випускає USDC, а потім переміщує активи на інші ланцюги через протокол крос-чейн переказів Circle (CCTP).
Однак Circle нещодавно заявив, що не заморожуватиме активи без законного дозволу; іншими словами, якщо сторони вчасно втрутяться, ймовірність повної реалізації 70 мільярдів доларів невелика, але ця цифра все одно показує масштаб проблеми.
Варто зазначити, що ключові повноваження протоколів у мові Move (випуск стейблкоїнів, контроль міжланцюгових мостів, управління кредитними ринками) часто зберігаються у вигляді «ончейн-ресурсів». Якщо такі ролі будуть скомпрометовані, шкода не обмежиться одним протоколом, а пошириться ланцюжком довіри на всі залежні системи.
Під час тестування команда Hexens навіть тимчасово перехопила роль, подібну до «master minter», і діяла через законні шляхи управління; хоча вони зупинилися перед фактичним випуском монет, це вже довело, що такі ролі мають бути включені в повну модель загроз. Дослідники вважають, що головний шлях до ширшого впливу — це централізовані біржі, особливо з'єднання Aptos, яке пов'язує ончейн-активність із зарахуванням депозитів на біржах.