Een klein team van ethische hackers, gewapend met een server van $3.000, heeft een fundamentele veiligheidsgarantie van de Aptos-blockchain gekraakt – en dat voor een schijntje. De kwetsbaarheid, die inmiddels is verholpen, gaf de onderzoekers een slagingskans van bijna 90% om de basisveiligheidsbelofte van het netwerk te doorbreken. Potentiële verliezen: tot $70 miljard aan crypto-activa.
De aanval kostte slechts een paar honderd dollar om uit te voeren. Dit maakt het een van de goedkoopste kritieke blockchain-kwetsbaarheden die ooit is aangetoond. De onderzoekers, die het probleem privé meldden voordat het werd opgelost, toonden aan dat de goedkope hardware de blockchain herhaaldelijk in een ongeldige staat kon dwingen – een schending van wat Aptos zijn "veiligheidsgarantie" noemt.
Die garantie is de basis van elke proof-of-stake-keten: zodra een blok is gefinaliseerd, kunnen de transacties erin niet worden teruggedraaid of gewijzigd. De onderzoekers hebben dat doorbroken. Vanaf een server die minder kost dan een tweedehands Honda, vonden ze een manier om het netwerk tegenstrijdige blokken te laten accepteren, wat de deur opende voor 'double-uitgaven en andere catastrofale aanvallen.
Aptos Labs bevestigde de patch in een verklaring op donderdag 4 juli. Het team zei dat er in de praktijk nooit geld in gevaar is geweest, omdat de kwetsbaarheid werd ontdekt tijdens een routine veiligheidscontrole. Desondanks schaadt de onthulling het vertrouwen van investeerders in een keten die zijn academische wortels en de op Rust gebaseerde Move-taal als veiligheidslagen heeft gepromoot.
Voor handelaren is de directe zorg de tokenprijs. APTOS wordt verhandeld binnen een smalle bandbreedte, maar een bearish sentiment komt al naar boven in de over-the-counter-markten. De aanvalsvector zelf is gesloten, maar het voorval roept vragen op over hoeveel van dergelijke goedkoop te misbruiken gaten er nog onder de motorkap kunnen bestaan.
Het belangrijkste punt om nu in de gaten te houden is of Aptos een volledige technische autopsie zal publiceren. Zonder dat blijven investeerders gissen naar de hoofdoorzaak en of er andere aanvalsoppervlakken overblijven. Ondertussen is het team dat de fout ontdekte van plan om zijn volledige bevindingen te presenteren op een veiligheidsconferentie in augustus.
Dit is geen actieve crisis – de patch is live. Maar voor iedereen die APTOS bezit of bouwt op Move-gebaseerde ketens, is de les duidelijk: zelfs een goed gecontroleerde blockchain kan worden gekraakt met apparatuur die minder kost dan een MacBook Pro. Vertrouwen, eenmaal beschadigd, heeft langer nodig om te herstellen dan code.
Ethische hackers vinden en dichten bug van $70 mld in Aptos
Een team van ethische hackers gebruikte een goedkope server van $3.000 om een cruciale veiligheidsregel van de Aptos-blockchain te doorbreken, wat tot $70 miljard aan crypto-activa in gevaar bracht. Aptos Labs heeft de fout verholpen voordat er geld verloren ging, maar het incident roept vragen op over de veiligheid van het netwerk voor investeerders en gebruikers.