Mały zespół etycznych hakerów, uzbrojony w serwer za 3000 USD, złamał podstawową gwarancję bezpieczeństwa blockchainu Aptos – i zrobili to za grosze. Luka, już załatana, dawała badaczom niemal 90% skuteczności w łamaniu fundamentalnej obietnicy bezpieczeństwa sieci. Potencjalne straty: aktywa kryptowalutowe o wartości nawet 70 miliardów dolarów.
Atak kosztował zaledwie kilkaset dolarów. To czyni go jedną z najtańszych krytycznych podatności blockchainowych, jakie kiedykolwiek zademonstrowano. Badacze, którzy ujawnili problem prywatnie przed jego naprawieniem, pokazali, że tani sprzęt mógł wielokrotnie wprowadzać blockchain w nieprawidłowy stan – naruszając to, co Aptos nazywa swoją „gwarancją bezpieczeństwa”.
Ta gwarancja stanowi fundament każdego łańcucha proof-of-stake: raz sfinalizowany blok nie może zostać cofnięty ani zmodyfikowany. Badacze to złamali. Za pomocą serwera kosztującego mniej niż używana Honda znaleźli sposób, aby sieć akceptowała sprzeczne bloki, otwierając drogę do podwójnego wydawania i innych katastrofalnych ataków.
Aptos Labs potwierdziło wprowadzenie łatki w oświadczeniu w czwartek 4 lipca. Zespół oświadczył, że w praktyce żadne środki nie były zagrożone, ponieważ lukę wykryto podczas rutynowego przeglądu bezpieczeństwa. Mimo to ujawnienie tej informacji nadwyręża zaufanie inwestorów do łańcucha, który szczyci się akademickimi korzeniami i językiem Move opartym na Rust jako warstwami bezpieczeństwa.
Dla traderów natychmiastową obawą jest cena tokena. Aptos (APT) porusza się w wąskim przedziale, ale na rynkach OTC pojawiają się już niedźwiedzie nastroje. Sam wektor ataku został zamknięty, lecz incydent rodzi pytania o to, ile jeszcze takich tanich do wykorzystania luk może kryć się pod maską.
Kluczową kwestią jest teraz to, czy Aptos opublikuje pełną techniczną autopsję. Bez niej inwestorzy pozostają w niepewności co do pierwotnej przyczyny i tego, czy istnieją inne powierzchnie ataku. Tymczasem zespół, który znalazł lukę, planuje przedstawić pełne wyniki na konferencji bezpieczeństwa w sierpniu.
To nie jest trwający kryzys – łatka jest już wdrożona. Ale dla każdego, kto posiada APT lub buduje na łańcuchach opartych na Move, wniosek jest jasny: nawet dobrze audytowany blockchain można złamać za pomocą sprzętu, który kosztuje mniej niż MacBook Pro. Zaufanie, raz nadszarpnięte, naprawia się dłużej niż kod.
Etyczni hakerzy odkryli i pomogli załatać lukę 70 mld USD w Aptos
Zespół etycznych hakerów użył taniego serwera za 3000 USD, by złamać kluczową zasadę bezpieczeństwa blockchainu Aptos, narażając aktywa kryptowalutowe o wartości nawet 70 miliardów dolarów. Aptos Labs załatało lukę, zanim stracono jakiekolwiek środki, ale incydent budzi obawy o bezpieczeństwo sieci wśród inwestorów i użytkowników.