Server od 3.000 dolara bio je dovoljan da istraživač blockchain sigurnosti simulira napad koji je, kako tvrdi, mogao ugroziti čak 70 milijardi dolara kripto infrastrukture. U središtu otkrića bio je propust u Aptosu, layer-1 blockchainu izgrađenom na jeziku Move, koji potiče iz Facebookovog napuštenog projekta Diem.
Krajem februara istraživači firme za blockchain sigurnost Hexens prijavili su kritičnu ranjivost u Aptos Move virtuelnoj mašini timu za razvoj projekta. Hexens je identifikovao ono što opisuje kao 'bug ustajale keš memorije' koji vodi ka ranjivosti zabune tipova, stanju u kojem se softver može navesti da jednu vrstu on-chain resursa tretira kao drugu. Aptos tim je zakrpio ranjivost kada je prijavljena i nikakva sredstva nisu izgubljena. 'Aptos Labs je 25. februara obaviješten o mogućem problemu kroz naš program nagrada za greške, koji je već bio interno analiziran', rekao je glasnogovornik Aptosa. 'Ispravka je razvijena, testirana i primijenjena na mainnet u roku od nekoliko sati. Nijedan korisnik ni sredstva nisu bili pogođeni.' Glasnogovornik je osporio praktičnu iskoristivost buga, tvrdeći da bi imao 'izuzetno nisku iskoristivost u stvarnim uslovima'.
Mudit Gupta, tehnički direktor Polygona, nezavisno je pregledao dokaz koncepta i rekao da je eksploit izdržao provjeru: 'Radio je kako je tvrđeno, i eksploit je imao smisla. Zahtijevao je da bude ispunjeno nekoliko uslova, što izgleda da jesu na mainnetu.' Firma Grego AI, koja je nezavisno verifikovala dokaz koncepta, izračunala je da je oko 250 miliona dolara Aptosove domaće zaključane vrijednosti bilo direktno u riziku, na osnovu skoro 90 posto uspješnosti.
Ranjivost, koju je otkrio Vahe Karapetyan, tehnički direktor i suosnivač Hexensa, mogla je, da je ostala neotkrivena, izložiti mnogo veći sistemski rizik kroz mostove, stablecoine, DeFi protokole i centralizovane berze. Hexens je procijenio širi sistemski rizik prvog reda na oko 70 milijardi dolara, uključujući vrijednost dostupnu kroz mostove, sisteme za prekogranične poruke i tokove administracije stablecoinā. Justus Hanna, izvršni direktor Grego AI, rekao je: 'Da su zli akteri imali pristup ovom bugu, mogli su uzeti svu zaključanu vrijednost koju požele.' Tim je istog dana otvorio hitnu sobu 'SEAL911' za koordinaciju odgovora, a javni zahtjev za spajanje koda koji odražava zakrpu postao je dostupan 27. februara.
Izvor: CoinDesk