Невелика команда етичних хакерів, озброєна сервером за $3000, зламала основну гарантію безпеки блокчейну Aptos – і зробила це за копійки. Вразливість, яку вже виправлено, давала дослідникам майже 90% шансів на успішне порушення фундаментального принципу безпеки мережі. Потенційні збитки могли сягнути $70 мільярдів у криптоактивах.
Витрати на проведення атаки склали лише кілька сотень доларів. Це робить її однією з найдешевших критичних вразливостей блокчейну, які коли-небудь демонструвалися. Дослідники, які повідомили про проблему в приватному порядку до її виправлення, показали, що дешеве обладнання може неодноразово змушувати блокчейн переходити в недійсний стан – це порушення того, що Aptos називає своєю «гарантією безпеки».
Ця гарантія є основою будь-якого блокчейну на базі Proof-of-Stake: після фіналізації блоку транзакції в ньому неможливо скасувати або змінити. Дослідники порушили цей принцип. За допомогою сервера, що коштує дешевше за вживану Honda, вони знайшли спосіб змусити мережу приймати суперечливі блоки, відкриваючи шлях до подвійних витрат та інших катастрофічних атак.
Aptos Labs підтвердила виправлення вразливості у своїй заяві в четвер, 4 липня. Команда заявила, що кошти ніколи не були під загрозою на практиці, оскільки вразливість виявили під час планової перевірки безпеки. Проте ця новина похитнула довіру інвесторів до блокчейну, який позиціонував свої академічні корені та мову Move на базі Rust як додаткові рівні безпеки.
Для трейдерів головним занепокоєнням є ціна токена. APTOS торгується у вузькому діапазоні, але на позабіржових ринках уже з'являються ведмежі настрої. Сам вектор атаки закрито, але цей епізод порушує питання про те, скільки ще таких дешевих для експлуатації вразливостей може існувати в системі.
Тепер головне питання полягає в тому, чи опублікує Aptos повний технічний аналіз інциденту. Без нього інвесторам залишається лише здогадуватися про першопричину та про те, чи існують інші потенційні вектори атак. Тим часом команда, яка виявила вразливість, планує представити повні результати свого дослідження на конференції з безпеки в серпні.
Це не активна криза – виправлення вже впроваджено. Але для всіх, хто володіє APTOS або розробляє на блокчейнах на базі Move, висновок очевидний: навіть добре перевірений блокчейн можна зламати за допомогою обладнання, яке коштує дешевше за MacBook Pro. Довіру, одного разу підірвану, відновлювати довше, ніж виправляти код.
Етичні хакери виправили вразливість на $70 млрд у блокчейні Aptos
Команда етичних хакерів використала сервер за $3000, щоб порушити ключовий протокол безпеки блокчейну Aptos, що поставило під загрозу криптоактиви на $70 мільярдів. Aptos Labs виправила вразливість до втрати коштів, але інцидент викликає занепокоєння щодо надійності мережі.