Небольшая команда этичных хакеров, вооружившись сервером за $3000, смогла обойти основную гарантию безопасности блокчейна Aptos – и сделала это за сущие копейки. Уязвимость, которая теперь исправлена, позволяла исследователям с вероятностью успеха почти 90% нарушать фундаментальное обещание безопасности сети. Потенциальные убытки могли составить до $70 миллиардов в криптоактивах.
Стоимость проведения атаки составила всего несколько сотен долларов. Это делает ее одной из самых дешевых критических уязвимостей блокчейна, когда-либо продемонстрированных. Исследователи, которые конфиденциально сообщили о проблеме до ее устранения, показали, что недорогое оборудование могло многократно приводить блокчейн в недействительное состояние – что является нарушением того, что Aptos называет своей «гарантией безопасности».
Эта гарантия является основой любой сети на базе Proof-of-Stake: после финализации блока транзакции внутри него не могут быть отменены или изменены. Исследователи нарушили это правило. С помощью сервера, который стоит дешевле подержанной Honda, они нашли способ заставить сеть принимать конфликтующие блоки, открывая возможность для двойных трат и других катастрофических атак.
Aptos Labs подтвердила выпуск исправления в заявлении в четверг, 4 июля. Команда заявила, что на практике средства никогда не подвергались риску, поскольку уязвимость была обнаружена в ходе плановой проверки безопасности. Тем не менее, эта новость подрывает доверие инвесторов к сети, которая позиционировала свои академические корни и язык Move на основе Rust как дополнительные уровни защиты.
Для трейдеров главной непосредственной проблемой является цена токена. APTOS торгуется в узком диапазоне, но на внебиржевых рынках уже проявляются медвежьи настроения. Сам вектор атаки закрыт, но этот эпизод поднимает вопросы о том, сколько еще подобных дешевых в эксплуатации уязвимостей может скрываться в системе.
Теперь главный вопрос заключается в том, опубликует ли Aptos полный технический анализ инцидента. Без него инвесторы могут лишь догадываться о первопричине и о том, остались ли другие векторы атак. Тем временем команда, обнаружившая уязвимость, планирует представить полные результаты своего исследования на конференции по безопасности в августе.
Это не текущий кризис – исправление уже внедрено. Но для всех, кто держит APTOS или создает проекты на блокчейнах на базе Move, вывод очевиден: даже хорошо проверенный блокчейн можно взломать с помощью оборудования, которое стоит дешевле MacBook Pro. Доверие, однажды подорванное, восстанавливается дольше, чем код.
Этичные хакеры устранили уязвимость в Aptos на $70 млрд
Команда этичных хакеров использовала сервер стоимостью $3000, чтобы нарушить ключевое правило безопасности блокчейна Aptos, поставив под угрозу криптоактивы на сумму до $70 миллиардов. Aptos Labs исправила уязвимость до потери средств, однако инцидент вызывает опасения относительно надежности сети для инвесторов и пользователей.