3.000 dolarlık bir sunucuyla donanmış küçük bir etik hacker ekibi, Aptos blockchain'inin temel bir güvenlik garantisini çok cüzi bir maliyetle aştı. Artık yamalanmış olan bu açık, araştırmacılara ağın temel güvenlik vaadini kırmada yaklaşık %90'lık bir başarı oranı sağladı. Potansiyel kayıplar: 70 milyar dolara varan kripto varlık.
Saldırının gerçekleştirilmesi yalnızca birkaç yüz dolara mal oldu. Bu da onu şimdiye kadar gösterilen en ucuz kritik blockchain güvenlik açıklarından biri yapıyor. Sorunu düzeltilmeden önce özel olarak bildiren araştırmacılar, ucuz donanımın blockchain'i tekrar tekrar geçersiz bir duruma zorlayabildiğini gösterdi. Bu, Aptos'un "güvenlik garantisi" olarak adlandırdığı şeyin bir ihlaliydi.
Bu garanti, herhangi bir kanıt-of-stake zincirinin temel taşıdır: bir blok kesinleştikten sonra içindeki işlemler geri alınamaz veya değiştirilemez. Araştırmacılar bunu başardı. Kullanılmış bir Honda'dan daha ucuza mal olan bir sunucuyla, ağın çelişkili blokları kabul etmesini sağlamanın bir yolunu bularak çifte harcama ve diğer feci saldırıların kapısını araladılar.
Aptos Labs, 4 Temmuz Perşembe günü yaptığı açıklamada yamayı doğruladı. Ekip, güvenlik açığı rutin bir güvenlik incelemesi sırasında keşfedildiği için pratikte hiçbir fonun risk altında olmadığını belirtti. Yine de bu ifşa, akademik köklerini ve Rust tabanlı Move dilini güvenlik katmanları olarak lanse eden bir zincire yönelik yatırımcı güvenini sarstı.
Trader'lar için acil endişe token fiyatıdır. APTOS dar bir aralıkta işlem görüyor, ancak tezgâh üstü piyasalarda şimdiden düşüş yönlü bir hissiyat ortaya çıkıyor. Saldırı vektörünün kendisi kapatılmış olsa da bu olay, kaputun altında bu türden istismarı ucuz daha kaç tane açık olabileceği sorusunu gündeme getiriyor.
Şu anda asıl izlenmesi gereken konu, Aptos'un tam bir teknik otopsi raporu yayınlayıp yayınlamayacağıdır. Böyle bir rapor olmadan yatırımcılar, temel neden ve başka saldırı yüzeylerinin kalıp kalmadığı konusunda tahminde bulunmak zorunda kalacak. Bu arada, açığı bulan ekip, tüm bulgularını Ağustos ayında bir güvenlik konferansında sunmayı planlıyor.
Bu, devam eden bir kriz değil; yama yayında. Ancak APTOS sahibi olan veya Move tabanlı zincirler üzerinde geliştirme yapan herkes için çıkarılacak ders açık: iyi denetlenmiş bir blockchain bile bir MacBook Pro'dan daha ucuza mal olan bir sistemle kırılabilir. Güven bir kez zedelendiğinde, onarılması koddan daha uzun sürer.
Etik hacker'lar Aptos'ta 70 milyar dolarlık güvenlik açığı buldu
Bir grup etik hacker, 3.000 dolarlık ucuz bir sunucu kullanarak Aptos blockchain'inin temel bir güvenlik kuralını ihlal etti ve 70 milyar dolara varan kripto varlığı riske attı. Aptos Labs, para kaybı yaşanmadan açığı kapatsa da bu durum, ağın yatırımcılar ve kullanıcılar için güvenliği konusunda endişelere yol açtı.