Aptos'un Move VM'sindeki eski önbellek hatası, araştırmacılara zincirin temel güvenlik garantilerini kırma konusunda %90'a yakın başarı oranı sağladı ve saldırı maliyetleri sadece birkaç yüz dolar oldu.
Aptos'un Move VM'sindeki eski önbellek hatası, araştırmacılara zincirin temel güvenlik garantilerini kırma konusunda %90'a yakın başarı oranı sağladı ve saldırı maliyetleri sadece birkaç yüz dolar oldu.

Aptos'un Move VM'sindeki eski önbellek hatası, araştırmacılara zincirin temel güvenlik garantilerini kırma konusunda %90'a yakın başarı oranı sağladı ve saldırı maliyetleri sadece birkaç yüz dolar oldu.
Cuma günü yayınlanan bulgulara göre, 3.000 dolarlık bir sunucu, güvenlik araştırmacılarının Aptos blokzincirine yönelik, 70 milyar dolara kadar kripto para altyapısını riske atabilecek bir saldırı simülasyonu yapması için yeterliydi.
Polygon'un Baş Teknoloji Sorumlusu Mudit Gupta, kanıt-konsept materyallerini bağımsız olarak inceledikten sonra CoinDesk'e yaptığı açıklamada, "İddia edildiği gibi çalıştı ve istismar mantıklıydı. Birkaç koşulun karşılanması gerekiyordu ve ana ağda da öyle görünüyor ki karşılanmışlar." dedi.
Bir blokzincir güvenlik firması olan Hexens'teki araştırmacılar, Aptos Move sanal makinesinde (zincir üzerinde akıllı sözleşmeleri işleyen yürütme ortamı) bir tür-karışıklığı güvenlik açığına yol açan eski bir önbellek hatası tespit etti. Ekip, simüle edilmiş bir ortamda yaklaşık 20 kez istismar yolunu çalıştırdı ve yaklaşık 3.000 dolara mal olan ve doğrulayıcı ağının yaklaşık üçte birini simüle eden bir sunucu kurulumu kullanarak 17 veya 18 kez başarılı oldu - bu da %90'a yakın bir başarı oranı anlamına geliyor. Saldırı, herhangi bir içeriden bilgi veya özel izin gerektirmedi.
Güvenlik açığı 25 Şubat'ta SEAL911 acil durum kanalları aracılığıyla rapor edildi ve Aptos saatler içinde ana ağa bir yama dağıttı. Hiçbir fon kaybedilmedi. Ancak bu açıklama, bir katman-1 blokzincirinin yürütme katmanındaki tek bir tespit edilmemiş hatanın, köprüler, stablecoin ihraççıları ve merkezi borsalar aracılığıyla nasıl kademeli bir etki yaratarak, sınırlı bir protokol kusurunu piyasa çapında bir krize dönüştürebileceğini gösteriyor.
Hata nasıl çalıştı?
Bu tür bir hatanın hassasiyeti, Move dilinin yetkiyi nasıl ele aldığına dayanıyor. Move'daki protokol izinleri - bir stablecoin basma hakkı, bir köprüyü kontrol etme veya bir borç verme piyasasını yönetme dahil - doğrudan zincir üstü kaynaklar olarak depolanır. Bu kaynaklar tehlikeye girerse, hasar onlara güvenen her şeye yayılır.
Hexens araştırmacıları, bu hatayı, Ethereum benzeri bir zincirde, saldırganın kontrolündeki kodun diğer sözleşmelere ait depolama alanına yazmasına izin verecek ve Move'un özellikle desteklemek üzere tasarlandığı tür sistemi garantilerini atlayacak bir kusura benzetti.
Hexens'in kanıt-konseptini bağımsız olarak doğrulayan Grego AI, daha geniş çapraz zincir maruziyetinden ayrı olarak, yaklaşık %90'lık başarı oranına dayanarak Aptos-native kilitli toplam değerin (TVL) yaklaşık 250 milyon dolarının doğrudan risk altında olduğunu hesapladı.
70 milyar dolarlık sistemik risk
Hexens, daha geniş birinci dereceden sistemik riskin yaklaşık 70 milyar dolar olduğunu değerlendirdi - bu rakam, köprüler, çapraz zincir mesajlaşma sistemleri, stablecoin yönetim akışları ve merkezi borsalar aracılığıyla erişilebilen değeri içeriyor. Grego AI, istismarın LayerZero, Wormhole ve USDC'nin Çapraz Zincir Transfer Protokolü (CCTP) tarafından tutulan protokol yeteneklerini çalmak için de kullanılabileceğini belirtti.
Grego AI CEO'su Justus Hanna, "Kötü niyetli aktörler bu hataya erişebilseydi, istedikleri tüm TVL'yi alabilirlerdi." dedi.
70 milyar dolarlık tahmin, büyük miktarda USDC basılması ve Circle'ın CCTP'sini kullanarak bunu zincirler arasında taşımaya dayanıyor. Uygulamada, Circle USDC transferlerini durdurabilir, ancak stablecoin ihraççısı, yasal yetki olmadan varlıkları dondurmadığını söyledikten sonra incelemeyle karşı karşıya kaldı. Yine de araştırmacılar, ana basıcı rolleri, köprü imzalayıcı yetenekleri ve protokol muhasebe durumu - çapraz zincir sistemlerinin en üstünde yer alan türden yetkiler - üzerinde erişim gösterdi.
Daha geniş yüzeye açılan baskın vektör, merkezi borsalardan, özellikle de zincir üstü aktiviteyi borsa para yatırma kredilendirmesine bağlayan Aptos köprü yollarından geçiyor.
Müdahale ve açıklama
Hexens raporunu sunduğu gün, müdahaleyi koordine etmek için bir SEAL911 acil durum savaş odası açıldı. Satıcı saatler sonra bilgilendirildi ve o öğleden sonra dört büyük alt projeye uyarı gönderildi; her birine yerel olarak çalıştırılabilir kanıt-konsept materyali ve ilgili yetki modellerinin analizi verildi.
Yamayı yansıtan halka açık bir birleştirme isteği (pull request) 27 Şubat'ta kullanıma sunuldu. Aptos, kamuya açık gönderimden önce özel bir doğrulayıcı yamasının dağıtıldığını belirtti. Bir Aptos sözcüsü CoinDesk'e yaptığı açıklamada, "Keşiften saatler içinde bir düzeltme geliştirildi, test edildi ve ana ağa dağıtıldı. Hiçbir noktada kullanıcı veya fon etkilenmedi." dedi. Sözcü ayrıca hatanın pratikte kullanılabilirliğini de tartışmaya açarak, şirketin analizinin, hatanın "gerçek dünya koşullarında son derece düşük kullanılabilirliğe" sahip olduğunu belirlediğini söyledi.
Hexens, gösterilen etki sınıflarını tartışan teknik bir reddiye veya kanıta dayalı bir argüman almadığını söyledi. Firma, araştırmacılara iletilen ana endişenin, istismarın olasılıksal yönleriyle ilgili olduğunu belirtti - ki ekibin kalibrasyon çalışması tam olarak bunu ele almak için tasarlanmıştı.
Eğer bir saldırgan bu hatayı bulup istismar etmiş olsaydı, geçen yıl Bybit hack'inde çalınan 1,5 milyar dolarlık miktarı gölgede bırakabilirdi. Haziran ayında, Zcash geliştiricilerin gizlilik havuzunda dört yıl boyunca tespit edilemeyen ve bir saldırganın sınırsız miktarda sahte token basmasına olanak tanıyabilecek kritik bir hatayı açıklamasının ardından %38 değer kaybetti. Aptos açıklaması, sektörün kritik kusurları istismar edilmeden önce tespit etme ve yama yapma yeteneğini test eden, giderek büyüyen ramak kala olaylar listesine ekleniyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.