Um servidor de US$ 3.000, quase conseguiu abalar US$ 7 bilhões em ativos on-chain

Acabei de ver uma matéria do CoinDesk e, sinceramente, fiquei com um arrepio na nuca.

Um pesquisador da empresa de segurança Hexens, usando um servidor comum configurado com US$ 3.000, encontrou uma vulnerabilidade fatal na rede Aptos. A taxa de sucesso do ataque chega a quase 90%, e seria capaz de simular cerca de 1/3 da rede de validadores. Em teoria, poderia ameaçar até US$ 7 bilhões em ativos on-chain.

A falha está em um bug de cache antigo da Máquina Virtual (VM) do Move. Ela pode causar confusão de tipos, permitindo que o código do atacante seja gravado diretamente na área de armazenamento de outros contratos. O que isso significa? Moedas estáveis, pontes cross-chain e protocolos DeFi: uma vez comprometidos, pode haver um efeito dominó e colapso em cadeia. Até o Move, uma linguagem conhecida por segurança de tipos, pode ser contornado em nível de implementação da VM.

Felizmente, desta vez foi uma ação de white hat. No dia 25 de fevereiro, foi reportada via programa de recompensas por vulnerabilidades; o patch foi implantado na mainnet em poucas horas, sem causar perdas reais. A Aptos confirmou a existência da vulnerabilidade, mas demonstrou cautela quanto ao número de US$ 7 bilhões de ativos afetados. O CTO da Polygon, Mudit Gupta, validou independentemente a eficácia do PoC, o que reforça, indiretamente, a gravidade da falha.

Esse caso nos dá um alerta para usuários comuns:
1. Mesmo entre as novas L1 que se dizem focadas em segurança, a segurança central depende dos detalhes de implementação, não apenas do desenho da linguagem.
2. Distribuir ativos entre diferentes cadeias e protocolos é, sempre, a forma mais “boba” e, ao mesmo tempo, mais eficaz de reduzir risco sistêmico.
3. Verificar se o projeto tem um programa ativo de recompensas por vulnerabilidades e qual é a velocidade de resposta — o reparo em poucas horas pela Aptos é um sinal positivo de governança madura em segurança.

Atualmente, as fontes públicas são principalmente do CoinDesk. As divulgações oficiais da Hexens e da Aptos ainda não saíram, então é necessário verificar a integridade das informações. Mas, independentemente de o número final ser US$ 7 bilhões ou menos com desconto, esse caminho de ataque de baixo custo e alta ameaça merece que todo o ecossistema Move fique em alerta.

Aviso: apenas para organização de informações e reconstituição lógica; não constitui recomendação de investimento. O mercado tem riscos; faça sua própria pesquisa.

$BTC $ETH $BNB #链上安全