Небольшая команда этичных хакеров с сервером стоимостью всего $3000 обошла ключевую гарантию безопасности блокчейна Aptos — и сделала это менее чем за тысячу долларов. Обнаруженная и уже исправленная уязвимость позволяла исследователям с вероятностью успеха почти 90% нарушать фундаментальное правило сети, ставя под угрозу криптоактивы на сумму до $70 миллиардов.
Речь идет о так называемой «гарантии безопасности» — основе любого блокчейна на Proof-of-Stake: после финализации блока транзакции в нем не могут быть отменены или изменены. Хакеры нашли способ заставить сеть принимать конфликтующие блоки, что открывало возможность для двойных трат и других катастрофических сценариев. И все это — с помощью оборудования, которое стоит дешевле подержанного автомобиля.
Команда Aptos Labs подтвердила, что исправление было выпущено в четверг, 4 июля. В официальном заявлении подчеркивается, что средства никогда не находились под реальной угрозой, так как уязвимость была обнаружена в ходе плановой проверки безопасности. Тем не менее, сам факт инцидента бьет по репутации сети, которая всегда делала ставку на академическую базу и язык Move на основе Rust как на дополнительные уровни защиты.
Для трейдеров главный вопрос сейчас — цена токена APTOS. Актив торгуется в узком диапазоне, но на внебиржевых рынках уже чувствуется медвежий настрой. Сам вектор атаки закрыт, но эпизод заставляет задуматься: сколько еще подобных дешевых в эксплуатации уязвимостей может оставаться незамеченными?
Ключевой момент — опубликует ли Aptos полный технический разбор инцидента. Без него инвесторы и разработчики будут гадать о первопричине и о том, не остались ли другие векторы атак. Команда хакеров, обнаружившая проблему, планирует представить подробные результаты своего исследования на конференции по безопасности в августе.
Прямой угрозы больше нет — исправление уже внедрено. Но вывод для всех, кто держит APTOS или строит проекты на блокчейнах на базе Move, остается тревожным: даже хорошо проверенную сеть можно взломать оборудованием, которое стоит дешевле нового MacBook Pro. А доверие, однажды подорванное, восстанавливается куда дольше, чем пишется код.
Речь идет о так называемой «гарантии безопасности» — основе любого блокчейна на Proof-of-Stake: после финализации блока транзакции в нем не могут быть отменены или изменены. Хакеры нашли способ заставить сеть принимать конфликтующие блоки, что открывало возможность для двойных трат и других катастрофических сценариев. И все это — с помощью оборудования, которое стоит дешевле подержанного автомобиля.
Команда Aptos Labs подтвердила, что исправление было выпущено в четверг, 4 июля. В официальном заявлении подчеркивается, что средства никогда не находились под реальной угрозой, так как уязвимость была обнаружена в ходе плановой проверки безопасности. Тем не менее, сам факт инцидента бьет по репутации сети, которая всегда делала ставку на академическую базу и язык Move на основе Rust как на дополнительные уровни защиты.
Для трейдеров главный вопрос сейчас — цена токена APTOS. Актив торгуется в узком диапазоне, но на внебиржевых рынках уже чувствуется медвежий настрой. Сам вектор атаки закрыт, но эпизод заставляет задуматься: сколько еще подобных дешевых в эксплуатации уязвимостей может оставаться незамеченными?
Ключевой момент — опубликует ли Aptos полный технический разбор инцидента. Без него инвесторы и разработчики будут гадать о первопричине и о том, не остались ли другие векторы атак. Команда хакеров, обнаружившая проблему, планирует представить подробные результаты своего исследования на конференции по безопасности в августе.
Прямой угрозы больше нет — исправление уже внедрено. Но вывод для всех, кто держит APTOS или строит проекты на блокчейнах на базе Move, остается тревожным: даже хорошо проверенную сеть можно взломать оборудованием, которое стоит дешевле нового MacBook Pro. А доверие, однажды подорванное, восстанавливается куда дольше, чем пишется код.