Сервер за 3000 долларов едва не потряс активы в сети на 70 миллиардов

Только что увидел материал CoinDesk — по спине прошёл холодок.
Исследователь из компании по кибербезопасности Hexens на обычном сервере с конфигурацией за 3000 долларов обнаружил критическую уязвимость в блокчейне Aptos. Успешность атаки — почти 90%, она позволяет смоделировать примерно 1/3 сети валидаторов. Теоретически это может поставить под угрозу активы в ончейне на сумму до 70 миллиардов долларов.

Уязвимость связана с устаревшим кэш-буфером в Move Virtual Machine, который может вызвать путаницу типов. В результате код атакующего может напрямую записываться в область хранения других смарт-контрактов. Что это значит? Если будут скомпрометированы стейблкоины, кроссчейн-мосты и DeFi-протоколы, цепочка последствий может обернуться каскадным обрушением. Даже язык Move, известный типобезопасностью, на уровне реализации VM может быть обходным образом «проскочен».

К счастью, на этот раз это была белая атака (white-hat). 25 февраля исследователи сообщили о проблеме через программу багбаунти — и в течение нескольких часов патч развернули в основной сети, реальных потерь не было. Официально Aptos признала факт существования уязвимости, но к цифре в 70 миллиардов затронутых активов относится осторожно. CTO Polygon Мудит Гупта независимо верифицировал работоспособность PoC — это косвенно подтверждает серьёзность проблемы.

Эта история — напоминание обычным пользователям:
1. Даже для нового поколения L1, которое славится безопасностью, ключевая защищённость зависит от деталей реализации, а не только от дизайна языка.
2. Диверсификация активов по разным сетям и протоколам — всегда самый «тупой», но и самый эффективный способ снизить системные риски.
3. Следите за тем, есть ли у проекта активная программа багбаунти и как быстро реагируют на уязвимости. Для Aptos ремонт занял считанные часы — это позитивный сигнал в пользу зрелого управления безопасностью.

На данный момент публичные источники в основном — CoinDesk; официальные объявления Hexens и Aptos ещё не опубликованы, поэтому полнота информации требует проверки. Но как бы ни были окончательные цифры — 70 миллиардов или «со скидкой», — такой недорогой, но высокорисковый вектор атак заслуживает настороженности всего Move-экосистемы.

Дисклеймер: это только сбор информации и разбор логики, не является инвестиционной рекомендацией. Рынок несёт риски — изучайте самостоятельно.

$BTC $ETH $BNB #цепочная безопасность