Небезпека! Компанія з кібербезпеки виявила вразливість в Aptos: 70 мільярдів доларів криптовалюти перебуває під системним ризиком.

Білі хакери компанії з кібербезпеки Hexens виявили вразливість типу плутанини (type confusion) у віртуальній машині Move блокчейну Aptos, ймовірність успішної атаки наближається до 90%.
(Попередній контекст: головний юридичний директор Grayscale Крейг Сальм заявив, що вразливість Zcash навряд чи буде використана до виправлення)
(Додаткова інформація: білі хакери викрили приховану 0-day вразливість у Cosmos! Перезапуск вузлів може призвести до повного блокування та паралічу, але офіційні особи проігнорували повідомлення як спам)
Зміст цієї статті

Перемикач

  • Сервер за 3000 доларів, 18 успішних атак із 20 симуляцій

Сервер за 3000 доларів, 18 успішних атак із 20 симуляцій

Команда Karapetyan, щоб підтвердити реальність вразливості, створила власне симуляційне середовище, близьке до масштабу основної мережі: понад 30 вузлів-валідаторів, розподіл стейкінгу, близький до реального, реальний обсяг транзакцій та висока конкуренція виконання. Вартість створення цього середовища становила лише близько 3000 доларів; у разі реальної атаки витрати були б ще нижчими, і не потрібні були б привілеї валідатора, внутрішні знання чи будь-який спеціальний доступ.

Команда провела близько 20 тестів у симуляційному середовищі, з яких 17-18 були успішними, що дає ймовірність близько 90%. Навіть якщо 2-3 рази не вдавалося, мережа не зупинялася, і зловмисник міг спокійно чекати наступного вікна для повторної атаки.

SEAL911 працював усю ніч, виправлення за 48 годин

Hexens повідомила про вразливість через програму bug bounty Aptos 25 лютого 2026 року.

Aptos заявила, що на момент отримання повідомлення внутрішня команда вже працювала над цим питанням. Того ж дня волонтерська команда екстреного реагування криптоіндустрії «SEAL911» відкрила оперативний штаб; ця команда стала ключовим першим ешелоном реагування на серйозні вразливості в екосистемі криптовалют.

Через кілька годин Aptos повідомила постраждалі сторони, а вдень того ж дня поінформувала 4 основні залежні проекти, надавши концептуальне підтвердження (PoC), яке можна виконати локально. До 27 лютого було опубліковано публічний запит на виправлення (pull request); Aptos підкреслила, що перед публічним комітом команда вже розгорнула виправлення на приватних валідаторах.

Офіційний представник Aptos заявив CoinDesk: «Коли 25 лютого через bug bounty надійшло повідомлення, внутрішня команда вже працювала над цим. Виправлення було розроблено, протестовано та розгорнуто в основній мережі протягом кількох годин після виявлення, жоден користувач чи кошти не постраждали.»

«Майже неможливо використати»? Стороннє підтвердження суперечить офіційній версії

Однак офіційна позиція Aptos значно відрізняється від оцінки Hexens. Aptos заявила CoinDesk: «Наш аналіз показує, що цю вразливість у реальних умовах надзвичайно важко використати.» Hexens відповіла, що досі не отримала жодних технічних спростувань, заснованих на доказах; єдине занепокоєння, висловлене офіційними особами, — це ймовірнісний характер самої вразливості, який і має вирішити техніка «неозброєного калібрування».

Але результати стороннього підтвердження схиляються на бік Hexens. Керівник технічного відділу Polygon Мудіт Гупта, незалежно перевіривши концептуальне підтвердження, зазначив: «Воно працює так, як заявлено, вразливість логічна... Потрібно виконати кілька умов, і, схоже, вони досягли цього в основній мережі.»

Інша незалежна організація, Grego AI, яка перевірила PoC Hexens, зазначила, що ця вразливість дозволяє викрасти повноваження багатьох протоколів, включаючи LayerZero, Wormhole та CCTP (міжланцюговий протокол USDC). Генеральний директор Grego AI Джастус Ханна прямо заявив: «Якби зловмисник отримав цю вразливість, він міг би забрати будь-яку загальну заблоковану вартість (TVL), яку забажає.»

Від 250 мільйонів до 70 мільярдів доларів: масштабування оцінки ризику

Hexens оцінює прямий вплив на Aptos (DeFi, токенізовані активи, інфраструктура стейблкоїнів та ліквідний стейкінг) у «десятки мільярдів доларів»; Grego AI, виходячи з майже 90% ймовірності успішної атаки, оцінює, що близько 250 мільйонів доларів рідної загальної заблокованої вартості (TVL) Aptos перебувають під безпосередньою загрозою, не враховуючи міжланцюговий вплив.

Якщо розширити перспективу до системного ризику, Hexens наводить цифру в 70 мільярдів доларів, що охоплює міжланцюгові мости, міжланцюгові системи обміну повідомленнями, процеси випуску стейблкоїнів і вартість активів, доступних на централізованих біржах. Ця вражаюча цифра базується на сценарії, де зловмисник масово випускає USDC, а потім переміщує активи на інші ланцюги через протокол крос-чейн переказів Circle (CCTP).

Однак Circle нещодавно заявив, що не заморожуватиме активи без законного дозволу; іншими словами, якщо сторони вчасно втрутяться, ймовірність повної реалізації 70 мільярдів доларів невелика, але ця цифра все одно показує масштаб проблеми.

Варто зазначити, що ключові повноваження протоколів у мові Move (випуск стейблкоїнів, контроль міжланцюгових мостів, управління кредитними ринками) часто зберігаються у вигляді «ончейн-ресурсів». Якщо такі ролі будуть скомпрометовані, шкода не обмежиться одним протоколом, а пошириться ланцюжком довіри на всі залежні системи.

Під час тестування команда Hexens навіть тимчасово перехопила роль, подібну до «master minter», і діяла через законні шляхи управління; хоча вони зупинилися перед фактичним випуском монет, це вже довело, що такі ролі мають бути включені в повну модель загроз. Дослідники вважають, що головний шлях до ширшого впливу — це централізовані біржі, особливо з'єднання Aptos, яке пов'язує ончейн-активність із зарахуванням депозитів на біржах.

APT-0,95%
ZEC-0,46%
ATOM-2,08%
ETH0,35%
ZRO2,17%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 1
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
GateUser-12f69f5b
· 4год тому
апт сила👍!!!
Переглянути оригіналвідповісти на0
  • Закріплено