A Look at Upcoming Innovations in Electric and Autonomous Vehicles Сервер за $3000 едва не обрушил крипторынок. $70 млрд висели на волоске

Сервер за $3000 едва не обрушил крипторынок. $70 млрд висели на волоске

Сервер за $3000 едва не обрушил крипторынок. $70 млрд висели на волоске

Исследователи безопасности из Hexens раскрыли критическую уязвимость в блокчейне Aptos, которая теоретически позволяла скомпрометировать до $70 млрд в криптоинфраструктуре - через мосты, стейблкоины и крупные биржи. Страшнее всего одна деталь: воспроизвести атаку удалось на оборудовании стоимостью около трёх тысяч долларов.

Баг, который не должен был существовать

Уязвимость нашли в виртуальной машине Move - среде исполнения смарт-контрактов Aptos. Технически это «баг устаревшего кеша», провоцирующий type-confusion: программу можно обмануть и заставить принять один тип данных за другой. Move создавался именно для того, чтобы подобное было невозможным по определению. Находка бьёт в фундамент его модели безопасности.

Особую опасность создаёт архитектура прав в этом языке. Разрешения протоколов - право выпускать стейблкоин, управлять мостом, администрировать кредитный рынок - хранятся прямо как ресурсы в цепочке. Скомпрометируй один такой ресурс, и волна пойдёт по всему, что ему доверяет.

Почти идеальный процент попаданий

Hexens прогнали сценарий атаки около 20 раз в смоделированной среде. Успех - в 17-18 случаях. Это почти 90%. Провальные попытки не роняли сеть, а значит, атакующий просто получал следующее окно.

Симуляция была выстроена максимально близко к реальным условиям: кластер из более чем 30 узлов-валидаторов, распределение стейка как в мейннете, органический трафик транзакций. Так называемые калибровочные прогоны заранее замеряли состояние мемпула - это снижало вероятностную неопределённость и делало атаку воспроизводимой.

CTO Polygon Мудит Гупта независимо изучил proof-of-concept и подтвердил: эксплойт рабочий. Компания Grego AI, тоже проверявшая материалы, оценила прямую экспозицию в $250 млн TVL самого Aptos - без учёта межсетевого заражения.

Что реально было под угрозой

Прямой удар по Aptos Hexens оценили в несколько миллиардов. Но взломы на уровне блокчейна редко останавливаются на одной цепи. Через мосты LayerZero и Wormhole, через протокол Circle CCTP, обеспечивающий кросс-чейн перемещение USDC, потенциальная воронка расширяется до $70 млрд. CEO Grego AI Джастус Ханна сформулировал предельно прямо: при доступе к багу злоумышленники могли забрать столько TVL, сколько захотят.

Оговорка важная: $70 млрд - сценарный максимум. Circle с высокой вероятностью остановила бы потоки USDC. Но её политика заморозки активов без явного правового основания недавно подвергалась критике, так что надёжность этого стопора - вопрос открытый. Для сравнения: даже при частичной реализации сценария это перекрыло бы кражу $1,4 млрд в ходе атаки на Bybit - крупнейшего криптовзлома в недавней истории.

Патч за часы, спор - навсегда

О баге команду Aptos уведомили 25 февраля через программу вознаграждений. Приватный патч для валидаторов развернули ещё до публичного коммита, который появился 27 февраля. По словам представителя компании, исправление разработали, протестировали и выкатили в мейннет за несколько часов. Ни один пользователь не потерял средства.

Параллельно в день подачи отчёта открылась экстренная «warroom» SEAL911 - волонтёрская группа первого реагирования в индустрии. Четыре крупных зависимых проекта получили материалы proof-of-concept в тот же день.

Спор между сторонами не закрыт. Aptos настаивает на крайне низкой практической эксплуатируемости бага в реальных условиях. Hexens говорят, что технического опровержения с доказательствами так и не получили - претензии касались только вероятностной части, которую калибровочная работа как раз и должна была снять. Средства целы. Но история напоминает: при атаке на уровне самого блокчейна заморозки эмитентов, лимиты мостов и экстренные патчи валидаторов - это не подстраховка на крайний случай. Это единственная линия обороны.