#EthicalHackersFindAptosFlawRisking$70B

Tiga peretas etis dan sebuah server $3.000 hampir berhasil menemukan bagaimana $70 miliar menghilang ๐Ÿ”๐Ÿ’€

Pada Februari, perusahaan keamanan Hexens menemukan bug stale cache di mesin virtual Aptos Move, yaitu mesin yang menjalankan setiap smart contract di jaringan tersebut. Mereka mensimulasikan eksploitasi dengan tingkat keberhasilan lebih dari 90% di bawah kondisi jaringan nyata. Seluruh setup menelan biaya $3.000. Tidak ada akses validator. Tidak ada pengetahuan orang dalam. Hanya sebuah server yang dipersiapkan dengan baik dan sore yang sangat tidak nyaman bagi para insinyur Aptos. ๐Ÿ“Š

Berikut alasan mengapa yang satu ini benar-benar penting ๐Ÿง 

Move menyimpan izin protokolโ€”hak untuk membuat stablecoin, menjalankan bridge, atau mengelola pasar lendingโ€”secara langsung sebagai resource onchain. Jika sistem tipe yang melindungi resource tersebut berhasil ditipu, kerusakan tidak akan sopan tetap berada di dalam Aptos. Kerusakan itu menyebar ke setiap stablecoin, bridge, dan protokol yang mempercayai izin-izin tersebut. Hexens membandingkannya dengan bug yang memungkinkan penyerang menulis kode secara langsung ke penyimpanan milik kontrak yang seharusnya tidak boleh disentuh. ๐Ÿ’ก

Ketegangan yang patut dimasukkan dengan jujur ๐ŸŽญ

Aptos menambal bug tersebut dalam hitungan hari setelah pengungkapan pada 25 Februari dan tidak ada dana yang pernah hilang. Tim tersebut juga menolak keras angka headline, dengan menyampaikan kepada para jurnalis bahwa analisis mereka sendiri menemukan tingkat kemampuan eksploitasi di dunia nyata yang sangat rendah. Verifikator independen, Grego AI, menempatkan eksposur langsung yang lebih konkret pada nilai asli Aptos sekitar $250 juta, sementara $70 miliar mewakili batas teoretis untuk semuanya yang terhubung dengannya. ๐Ÿ’Ž

Bagian yang benar-benar menenangkan ๐Ÿš€

Ini adalah sistem yang bekerja persis seperti yang dimaksudkan. Sebuah celah kritis ditemukan, diungkapkan secara bertanggung jawab, ditambal dengan tenang, dan baru dipublikasikan setelah bahaya berlalu. Kadang-kadang kisah kabar baik dalam keamanan kripto memang hanya: tidak ada apa-apa yang terjadi. ๐ŸŽฏ

$BTC $APT