Aptos закрыла критическую уязвимость: теоретический риск оценили в $70 млрд

Сводка рынка от ИИ
Aptos устранил критическую уязвимость "stale-cache" в Move VM, которая, по словам исследователей, могла позволить захват ончейн-структур и ресурсов полномочий, что подразумевает значительную теоретическую системную подверженность риску в DeFi и мостах. Средства утрачены не были, а исправление было доставлено в mainnet в течение нескольких часов, что является стабилизирующим фактором, однако раскрытие информации подчеркивает скрытый риск исполнения смарт-контрактов и может ужесточить контроль рисков для протоколов, связанных с Aptos, особенно для кроссчейн-мостов.
Степень влияния
● Средний
Затронутые активы
APT/USDT-2.46%
Инсайт ИИ · APT/USDTИнсайт ИИ
● Нейтральный
Торговать
⚠️ Инсайты, сгенерированные ИИ, основаны на новостном контенте и предоставляются исключительно в информационных целях. Они не являются инвестиционной рекомендацией и не отражают позицию BingX. Торговля сопряжена с риском. Пожалуйста, торгуйте ответственно.
Блокчейн Aptos, через который ежедневно проходят транзакции на миллиарды долларов, оказался в шаге от потенциально масштабного инцидента: по оценкам исследователей, до "катастрофы" не хватило считаных сотен долларов. Aptos Labs устранила критическую уязвимость в виртуальной машине Move после того, как специалисты по безопасности показали: в симуляции атака могла срабатывать почти в 90% случаев при использовании относительно недорогой серверной конфигурации. О проблеме, получившей название stalecache bug, 25 февраля 2026 года сообщила блокчейн-экосистема безопасности Hexens. Исправление было развернуто в основной сети в течение нескольких часов. 27 февраля Aptos опубликовала публичный pull request, где описала патч и увязала его с собственной программой bug bounty. Что позволяла уязвимость Ошибка находилась в Move VM — среде исполнения, через которую проходят все смарт-контракты в сети. По версии Hexens, изъян теоретически давал злоумышленнику возможность перехватывать on-chain структуры и ресурсы полномочий, то есть вмешиваться в ключевые структуры данных, определяющие, кому что принадлежит в блокчейне. Исследователи Hexens подготовили proof-of-concept: им хватило серверной сборки ориентировочной стоимостью около $3 000, а каждая отдельная попытка атаки обходилась в "низкие сотни долларов". В симуляциях вероятность успеха доходила почти до 90%. Hexens оценила системный риск в $70 млрд, учитывая стейблкоины, кроссчейн-мосты и DeFi-протоколы, развернутые на Aptos или связанные с ней. Отдельно отмечается уязвимость мостов: они аккумулируют пулы активов из нескольких сетей, и один успешный эксплойт может привести к выводу средств, пришедших из других блокчейнов. CTO Polygon Мудит Гупта (Mudit Gupta) независимо изучил proof-of-concept и подтвердил выводы исследователей. Реакция Aptos и последующие разногласия Потерь средств пользователей зафиксировано не было. Aptos Labs заявляет, что от обнаружения проблемы до установки патча в mainnet прошли часы. При этом Aptos оспорила утверждения о реализуемости атаки в реальных условиях основной сети: компания считает, что практические ограничения усложнили бы эксплуатацию по сравнению с симуляцией. Эта позиция вступает в противоречие с независимой валидацией proof-of-concept со стороны Гупты. Публичный pull request от 27 февраля задокументировал техническое исправление и формально связал инцидент с программой вознаграждений Aptos. В рамках bug bounty за раскрытие критических уязвимостей предусмотрены выплаты до $1 млн. На что обратить внимание инвесторам и разработчикам Оценка "$70 млрд системного риска" отражает максимальную теоретическую экспозицию — сценарий, при котором злоумышленник смог бы одновременно задействовать все уязвимые траектории. На фоне потенциальной ценности цели барьер входа выглядит низким: сервер за $3 000 и несколько сотен долларов на одну попытку. Протоколам, которые используют Aptos как уровень расчетов, особенно кроссчейн-мостам, раскрытие стоит воспринимать как сигнал проверить собственные зависимости и провести аудит. Порог bug bounty Aptos в $1 млн за критические находки выглядит конкурентным. Но с учетом того, что конкретная уязвимость имела теоретическую экспозицию на десятки миллиардов, исследователь, который мог бы продать ее на сером рынке значительно дороже, выбрал ответственное раскрытие.