Вразливість Aptos: Як його швидкість розширила ризик $70B

  • Hexens виявили критичну ваду в Aptos, яку виправили до того, як будь-які кошти були переміщені.
  • Помилка могла дозволити зловмиснику підробляти активи та переміщувати їх через мости.
  • Aptos оспорює серйозність, але технічний директор Polygon підтвердив працездатність концепції.
  • Цей випадок відновлює аргументи щодо встановлення автоматичних вимикачів на блокчейні на швидких L1.

Компанія з кібербезпеки розкрила, що Aptos, один із найшвидших блокчейнів рівня 1, мав критичну ваду протягом місяців, перш ніж її тихо виправили. 4 липня Hexens оприлюднили помилку, про яку раніше приватно повідомили Aptos 25 лютого. Це вразливість у рушії, що виконує смарт-контракти мережі, яка, за оцінками компанії, ставила під загрозу до $70 мільярдів теоретичного ризику через мости, стейблкоїни та підключені біржі. Aptos Labs виправили помилку протягом кількох годин після першого звіту, і жодні кошти користувачів не постраждали. То чому п'ятимісячне виправлення стає новиною зараз? Дві причини. Очевидно, число. Але також і деталі, що криються під ним: те, що Aptos найбільше рекламує — це чиста швидкість, і саме чиста швидкість перетворює $70 мільярдів із страшного заголовка на обґрунтовану оцінку. Хвастощі рекордною пропускною здатністю, через день після того, як історія стала відома 5 липня, ледве через 24 години після звіту, офіційний акаунт проекту опублікував заплановане щомісячне оновлення токеноміки, повідомивши про спалення 232 500 APT за останні 30 днів, понад 16 мільйонів транзакцій за один день — новий квартальний максимум, і середню комісію $0.0005 після десятикратного підвищення комісії, все під гаслом «повний стек для ринків і машин у роботі». Цей пост читається зовсім інакше, коли перед очима є розкриття Hexens, оскільки майже безкоштовні транзакції та величезна пропускна здатність, які рекламує Aptos, є тими самими властивостями, які експерт з безпеки оцінює в першу чергу, розраховуючи, скільки насправді може коштувати одна помилка в ядрі мережі.

Кожна транзакція в Aptos спалює $APT. Оновлення за новий місяць:

• 232.5K APT спалено за останні 30 днів
• 1.4M APT спалено всього з моменту запуску мейннету
• +16M транзакцій за день — новий квартальний максимум
• $0.0005 середня комісія за транзакцію після 10-кратного підвищення комісії

Повний стек для ринків і машин у роботі. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 липня 2026 р.

Помилка ховалася нижче коду, який перевіряє більшість аудитів Aptos побудований на Move, мові програмування, спеціально розробленій для того, щоб зробити такі атаки складними. Move розглядає токени та інші цифрові активи як захищені об'єкти і перевіряє під час виконання транзакції, що нічого не обробляється як неправильний тип. Ця обіцянка безпеки є великою частиною того, чому Aptos та Sui обидва подають Move як безпечніший за старі середовища. Вада Hexens обійшла цю обіцянку, а не зламала її в лоб. Простими словами, система короткочасно працювала із застарілою інформацією і в результаті сплутала один тип ончейн-елемента з іншим. Фахівці з безпеки називають це "плутаниною типів", старою програмною проблемою, коли програма читає щось як неправильний тип і проходить повз перевірки, призначені її зупинити. На блокчейні така плутанина небезпечна: зловмисник може замаскувати шкідливий елемент під легітимний і обдурити мережу, змусивши її неправильно визначити, хто володіє активом і кому дозволено його переміщувати. Технічний директор Polygon Мудіт Гупта незалежно переглянув підтвердження концепції та повідомив CoinDesk, що воно спрацювало, як заявлено, з застереженням, що мали збігтися кілька умов. Оскільки це виходить від керівника служби безпеки конкуруючої мережі, це має більшу вагу, ніж будь-що, що можуть сказати самі Aptos або Hexens. Чому дешеві комісії та величезний обсяг роблять помилку ще гіршою Пропускна здатність перестає бути маркетинговим гаслом і починає діяти як множник ризику. Hexens запустили атаку на кластер із понад 30 валідаторів, налаштований на відображення реальної мережі, на серверному обладнанні, яке коштувало близько $3,000 і представляло приблизно третину набору валідаторів. Спрацювало 17 або 18 разів із 20, без доступу інсайдера або спеціальних дозволів. Додайте живі цифри, і картина стає чіткішою. При частці цента за транзакцію залити мережу шкідливими навантаженнями майже безкоштовно. При 16 мільйонах транзакцій на день, з підтвердженням блоків за секунди, зловмиснику, який може підробляти активи, потрібне лише коротке вікно, щоб створити їх і вивести до того, як хтось зреагує. Швидкість нейтральна. Той самий рушій, який обробляє легітимний обсяг за секунди, обробить фальшивий запуск карбування та переказу з тією ж швидкістю, і люди, які керують мережею, не можуть реагувати так швидко. Це та частина, яку пост про метрики спалення ненавмисно підкреслив. Два дуже різних числа, і чому різниця має значення В результаті з'явилися дві цифри, і трактування їх як однієї є тим, що спотворює історію. Менша становить близько $250 мільйонів — вартість, що зберігається в додатках DeFi на Aptos, яку незалежна фірма Grego AI оцінила як таку, що піддається прямому ризику. Більша — це $70 мільярдів, і вона з'являється лише тоді, коли ви простежуєте помилку через кросчейн-мости, такі як Wormhole та LayerZero, системи стейблкоїнів та біржі, які торгують APT та його обгорнутими версіями. Мости є слабким місцем. Вони збирають активи з кількох мереж одночасно, тому подія підробки активів, яка починається на Aptos, у гіршому змодельованому випадку може вивести кошти, які спочатку надійшли з Ethereum. $70 мільярдів — це загальна сума за найгіршим сценарієм, побудована на наборі припущень, а не реальні кошти, які колись лежали там для захоплення одним чистим рухом.

| Цифра | | --- | Що вона представляє | Джерело | | --- | --- | --- | | $250M | Вартість у додатках DeFi на Aptos, які піддаються прямому ризику | Grego AI | | $70B | Системний ризик за найгіршим сценарієм через мости, стейблкоїни, біржі | Hexens | | $3,000 | Вартість сервера для симуляції приблизно третини валідаторів | Hexens | | $1M | Максимальний виплатний рівень баг-баунті Aptos | Програма баг-баунті Aptos |

Aptos Labs не оспорює сам звіт. Вона підтверджує повідомлення від 25 лютого через програму баг-баунті і стверджує, що проблема вже опрацьовувалася всередині. Що вона заперечує, так це серйозність, стверджуючи, що реальні умови мережі робили експлойт набагато складнішим, ніж передбачало тестове середовище, і оцінюючи реальну можливість експлуатації як "надзвичайно низьку". Це твердження безпосередньо суперечить незалежній перевірці Гупти, і дві позиції не були узгоджені публічно. Є ще одна різниця, яку варто відзначити, і вона стосується стимулів, а не коду. Винагорода обмежена $1 мільйоном. Експлойт такого роду приніс би на чорному ринку багаторазово більше, і Hexens все одно розкрили інформацію, що є власне сенсом програми баг-баунті.

| Тлумачення системної загрози | | --- | Тлумачення стійкості | | --- | --- | | Обладнання за $3,000 могло загрожувати топовому блокчейну рівня 1 | Виправлено за лічені години, без порушення роботи мережі | | Основна помилка вказує на категорійний ризик для мереж на Move | Aptos стверджує, що реальні умови робили експлуатацію дуже низькою | | Одна вада могла зачепити активи в мостах і стейблкоїнах | Винагорода спрямувала дії "білого капелюха" замість продажу |

Що робить графік APT, поки триває суперечка Трейдери в основному проігнорували це. На 4-годинному графіку Aptos/USD з Coinbase, отриманому через TradingView, APT торгувався близько $0.635 7 липня, тримаючись вище своєї 50-періодної ковзної середньої на рівні $0.6061 та 100-періодної лінії на $0.6147, при цьому зустрічаючи опір зверху від 200-періодної середньої на $0.6410. Ковзна середня — це просто середня ціна закриття за певну кількість свічок, і таке розташування вказує на реальне відскок, який ще не подолав більший спадний тренд, що потягнув APT з приблизно $1.00 в середині травня до приблизно $0.55. RSI, показник купівельного тиску, який коливається від 0 до 100, становив 58.77, вище нейтральної позначки 50, але далеко від лінії 70, яка сигналізує про перегрітий ринок. **CoinMarketCap **показав зростання APT на 9.91% за тиждень до $0.6339, тому розкриття інформації виглядає як тягар для настроїв, а не тригер для реальних продажів. Виправлення, яке переживе цей новинний цикл Розробники несуть короткострокове навантаження. Кожен, хто запускає додаток на Aptos, має причину перевірити, як його код обробляє такого роду крайові випадки, які знайшли Hexens, і великі інвестори можуть зберегти дещо вищу премію за ризик для токенів на основі Move, таких як APT і SUI, поки вони ще раз переглядають основи мережі. Однак дві речі, швидше за все, залишаться після того, як висвітлення зникне. Перша — це стеля винагороди. Обмеження в $1 мільйон виглядає все меншим порівняно з вартістю, яку воно має захищати, і проекти, які конкурують з покупцями на чорному ринку, можуть не мати іншого вибору, окрім як підвищити його. Друге — це зміна питання, яке дослідники насправді задають. Протягом багатьох років право на хвастощі було про те, скільки транзакцій може пропустити мережа. Цей інцидент зміщує фокус на протилежну навичку: як швидко мережа може зупинити себе. Швидкі блокчейни все більше потребують автоматичних "аварійних вимикачів", які заморожують кросчейн-перекази, щойно щось виглядає неправильно, тому що, поки людина помітить, транзакції вже пройшли. Aptos збирається провести цей експеримент на собі. Пропозиція приховувати деталі транзакцій до їх підтвердження, що ускладнить фронт-раннінг, вже проходить через голосування спільноти, тоді як інші оновлення спрямовані на ще швидший час підтвердження. Кожне з них додає швидкості та збільшує вартість під ризиком — ту саму комбінацію, яку розкриття Hexens показало, що може перетворити одну помилку на системну. Чи буде наступний момент безпеки Move сприйматися як підтвердження чи повторення, залежить від одного: чи будуть ці оновлення постачатися з вбудованими запобіжниками, необхідність яких продемонстрував цей епізод.

Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • Прокоментувати
  • Репост
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
Немає коментарів
  • Закріплено