Un piccolo team di hacker etici, armato di un server da 3.000 dollari, ha infranto una garanzia di sicurezza fondamentale della blockchain Aptos – e lo ha fatto per pochi spiccioli. La falla, ora corretta, ha dato ai ricercatori un tasso di successo di quasi il 90% nel violare la promessa di sicurezza fondamentale della rete. Le perdite potenziali: fino a 70 miliardi di dollari in cripto-asset.
L'esecuzione dell'attacco è costata solo poche centinaia di dollari. Questo la rende una delle vulnerabilità critiche di una blockchain più economiche mai dimostrate. I ricercatori, che hanno comunicato privatamente il problema prima che venisse risolto, hanno dimostrato che l'hardware a basso costo poteva costringere ripetutamente la blockchain a uno stato non valido – una violazione di ciò che Aptos chiama la sua "garanzia di sicurezza".
Tale garanzia è il fondamento di qualsiasi catena proof-of-stake: una volta che un blocco è finalizzato, le transazioni al suo interno non possono essere annullate o alterate. I ricercatori hanno infranto questa regola. Da un server che costa meno di una Honda usata, hanno trovato un modo per far accettare alla rete blocchi in conflitto, aprendo la porta al double-spending e ad altri attacchi catastrofici.
Aptos Labs ha confermato la patch in una dichiarazione giovedì 4 luglio. Il team ha affermato che in pratica nessun fondo è mai stato a rischio perché la vulnerabilità è stata scoperta durante una revisione di sicurezza di routine. Tuttavia, la divulgazione scuote la fiducia degli investitori in una catena che ha promosso le sue radici accademiche e il linguaggio Move basato su Rust come strati di sicurezza.
Per i trader, la preoccupazione immediata è il prezzo del token. APTOS è stato scambiato in un range ristretto, ma un sentimento ribassista sta già emergendo nei mercati over-the-counter. Il vettore di attacco stesso è stato chiuso, ma l'episodio solleva interrogativi su quante altre falle così economiche da sfruttare possano esistere sotto il cofano.
Il vero punto da osservare ora è se Aptos pubblicherà un'autopsia tecnica completa. Senza di essa, gli investitori possono solo fare ipotesi sulla causa principale e sull'eventuale permanenza di altre superfici di attacco. Nel frattempo, il team che ha scoperto la falla prevede di presentare i risultati completi a una conferenza sulla sicurezza ad agosto.
Non si tratta di una crisi in corso – la patch è attiva. Ma per chiunque detenga APTOS o stia costruendo su catene basate su Move, la lezione è chiara: anche una blockchain ben verificata può essere violata con un'attrezzatura che costa meno di un MacBook Pro. La fiducia, una volta incrinata, richiede più tempo per essere riparata del codice.
Hacker etici risolvono una falla da 70 mld $ nella blockchain Aptos
Un team di hacker etici ha utilizzato un server da 3.000 dollari per violare una regola di sicurezza chiave della blockchain Aptos, mettendo a rischio fino a 70 miliardi di dollari in cripto-asset. Aptos Labs ha corretto la falla prima che andassero persi dei fondi, ma l'episodio solleva preoccupazioni sulla sicurezza della sua rete per investitori e utenti.