Aptos-ის კრიტიკული ხარვეზი: 70 მილიარდი დოლარის კრიპტო აქტივები რისკის ქვეშ იყო

Rate this post

Aptos-ის კრიტიკული ხარვეზი: მხოლოდ 3,000 დოლარის სერვერით ჰაკერებს 70 მილიარდ დოლარამდე კრიპტო ეკოსისტემის საფრთხეში ჩაგდება შეეძლოთ

Aptos-ის ბლოკჩეინში აღმოჩენილმა კრიტიკულმა უსაფრთხოების ხარვეზმა შესაძლოა მთელი კრიპტო ინდუსტრიისთვის ერთ-ერთი ყველაზე სერიოზული საფრთხე შექმნილიყო. ბლოკჩეინის უსაფრთხოების კომპანია Hexens-ის მკვლევრებმა დაადგინეს, რომ მხოლოდ დაახლოებით 3,000 დოლარის ღირებულების სერვერის გამოყენებით შესაძლებელი იყო ისეთი შეტევის სიმულაცია, რომელიც თეორიულად 70 მილიარდ დოლარზე მეტი ღირებულების კრიპტო ინფრასტრუქტურის რისკის ქვეშ დაყენებას შეძლებდა.

საბედნიეროდ, Aptos Labs-მა ხარვეზი დროულად გამოასწორა და მომხმარებლების არცერთი აქტივი არ დაზარალებულა.

რა პრობლემა აღმოაჩინეს მკვლევრებმა?

Hexens-ის სპეციალისტებმა მიმდინარე წლის თებერვალში Aptos Move Virtual Machine-ში (Move VM) აღმოაჩინეს კრიტიკული სისუსტე.

პრობლემა დაკავშირებული იყო ე.წ. “stale-cache” შეცდომასთან, რომელიც წარმოშობდა type-confusion ტიპის მოწყვლადობას. ასეთ შემთხვევაში სისტემა შესაძლოა ერთ ტიპის რესურსს სხვა ტიპის რესურსად აღიქვამდეს, რაც თავდამსხმელს კრიტიკული უფლებების უკანონოდ მოპოვების შესაძლებლობას აძლევს.

Move პროგრამირების ენა სწორედ უსაფრთხოების მაღალი სტანდარტებით არის ცნობილი, რადგან ბლოკჩეინში მნიშვნელოვანი უფლებები — მაგალითად:

  • სტეიბლკოინის გამოშვება (Mint);
  • ბრიჯების კონტროლი;
  • DeFi პროტოკოლების ადმინისტრირება;
  • პროტოკოლის მართვის უფლებები;

სპეციალურ რესურსებად ინახება.

თუ მსგავსი რესურსები კომპრომეტირდება, საფრთხე მხოლოდ ერთ პროექტს აღარ ეხება — ზიანი შეიძლება მთელ ეკოსისტემაზე გავრცელდეს.

რამდენად რეალური იყო შეტევა?

Hexens-ის CTO-მ და თანადამფუძნებელმა Vahe Karapetyan-მა გუნდთან ერთად შექმნა Aptos Mainnet-ის მაქსიმალურად მსგავსი სატესტო გარემო.

ექსპერიმენტისთვის გამოყენებული იყო:

  • 30-ზე მეტი Validator Node;
  • Mainnet-ის მსგავსი სტეიკის განაწილება;
  • რეალისტური ტრანზაქციების ნაკადი;
  • მაღალი დატვირთვის პირობები.

შეტევის სიმულაცია დაახლოებით 20-ჯერ განხორციელდა, საიდანაც 17-18 მცდელობა წარმატებული აღმოჩნდა, რაც დაახლოებით 90%-იან წარმატების მაჩვენებელს ნიშნავს.

მნიშვნელოვანია, რომ შეტევის განსახორციელებლად საჭირო არ იყო:

  • Validator-ის კონტროლი;
  • შიდა თანამშრომლის მონაწილეობა;
  • განსაკუთრებული ადმინისტრაციული უფლებები.

Aptos-ის ოფიციალური პასუხი

Aptos Labs-ის განცხადებით, კომპანიამ პრობლემის შესახებ ინფორმაცია 25 თებერვალს მიიღო Bug Bounty პროგრამის მეშვეობით.

კომპანიის წარმომადგენლის თქმით:

“პრობლემის შესახებ შეტყობინების მიღების შემდეგ ხარვეზი რამდენიმე საათში შევიმუშავეთ, გამოვცადეთ და Mainnet-ზე განვათავსეთ. არც ერთი მომხმარებელი და არც ერთი აქტივი არ დაზარალებულა.”

Aptos ასევე აცხადებს, რომ მათი შეფასებით რეალურ ქსელში ამ მოწყვლადობის გამოყენების ალბათობა ძალიან დაბალი იყო.

დამოუკიდებელმა ექსპერტებმაც დაადასტურეს ხარვეზი

Polygon-ის CTO-მ, Mudit Gupta-მ, რომელმაც Hexens-ის მიერ წარმოდგენილი Proof of Concept დამოუკიდებლად გადაამოწმა, განაცხადა, რომ ექსპლოიტი ტექნიკურად სრულად გამართული იყო.

მისი თქმით:

“ექსპლოიტი ზუსტად ისე მუშაობდა, როგორც აღწერილი იყო. საჭირო იყო გარკვეული პირობების შესრულება, თუმცა როგორც ჩანს, Mainnet-ზე ეს პირობებიც არსებობდა.”

ამასთან, უსაფრთხოების ანალიტიკურმა პლატფორმამ Grego AI-მ დაადგინა, რომ მხოლოდ Aptos-ის ეკოსისტემაში 250 მილიონ დოლარზე მეტი TVL (Total Value Locked) პირდაპირ რისკის ქვეშ იმყოფებოდა.

რატომ საუბრობენ 70 მილიარდ დოლარზე?

Hexens-ის შეფასებით, რეალური საფრთხე მხოლოდ Aptos-ის საკუთარ ეკოსისტემას არ ეხებოდა.

Move-ზე დაფუძნებული ინფრასტრუქტურის გამო შესაძლო შეტევა გავლენას მოახდენდა:

  • Cross-chain Bridge-ებზე;
  • Stablecoin პროექტებზე;
  • DeFi პლატფორმებზე;
  • ცენტრალიზებულ კრიპტო ბირჟებზე;
  • სხვა დაკავშირებულ ბლოკჩეინ ინფრასტრუქტურაზე.

სწორედ ამ ეკოსისტემების საერთო მოცულობის გათვალისწინებით მკვლევრები საუბრობენ 70 მილიარდ დოლარზე მეტი ღირებულების აქტივების პოტენციურ რისკზე.

დასკვნა

Aptos-ის შემთხვევა კიდევ ერთხელ აჩვენებს, რამდენად მნიშვნელოვანი როლი აქვს ბლოკჩეინის უსაფრთხოების დამოუკიდებელ აუდიტს. მიუხედავად იმისა, რომ ხარვეზი დროულად აღმოიფხვრა და მომხმარებლების სახსრები უსაფრთხოდ დარჩა, ექსპერტების შეფასებით მსგავსი მოწყვლადობა წარმატებით გამოყენების შემთხვევაში შესაძლოა ერთ-ერთ ყველაზე მასშტაბურ კიბერშეტევად ქცეულიყო კრიპტოვალუტების ისტორიაში.

კომენტარები

წყარო: https://www.coindesk.com/tech/2026/07/04/how-ethical-hackers-with-just-a-usd3-000-server-found-a-flaw-that-could-ve-put-usd70-billion-in-crypto-at-risk

სიახლეების გამოწერა

ავტორი

  • 2017 წლიდან ვმუშაობ კრიპტოვალუტებისა და ბლოკჩეინის ინდუსტრიაში. ვაშუქებ ბაზრის მნიშვნელოვან მოვლენებს, ბიტკოინისა და ალტკოინების ტენდენციებს, DeFi-ს, NFT-ებსა და Web3 ეკოსისტემას.

    ვარ CryptoNews.ge-ის დამფუძნებელი, სადაც ყოველდღიურად ვაქვეყნებ სიახლეებსა და ანალიტიკურ სტატიებს. ჩემი მიზანია მკითხველს მივაწოდო ზუსტი, სწრაფი და გასაგები ინფორმაცია კრიპტოს სამყაროდან.