Aptos закрила критичну вразливість із теоретичним ризиком на $70 млрд

Ринкове зведення ШІ
Aptos усунув критичну вразливість "stale-cache" у Move VM, яка, за словами дослідників, могла б уможливити захоплення ончейн-структур і ресурсів повноважень, що натякає на значний теоретичний системний ризик у DeFi та мостах. Кошти не було втрачено, а виправлення потрапило до mainnet протягом кількох годин, що стабілізує ситуацію, але розкриття підкреслює прихований ризик виконання смартконтрактів і може посилити контроль ризиків для протоколів, пов'язаних з Aptos, особливо кросчейн-мостів.
Рівень впливу
● Середній
Активи, яких стосується
APT/USDT-2.46%
Інсайт ШІ · APT/USDTІнсайт ШІ
● Нейтральний
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
Блокчейн, який щодня обробляє транзакції на мільярди доларів, опинився за кількасот доларів від потенційної катастрофи. Aptos Labs усунула критичний дефект у віртуальній машині Move після того, як дослідники безпеки показали: змодельована атака може спрацьовувати майже у 90% випадків, використовуючи лише відносно скромну серверну конфігурацію. Уразливість, відома як bug "stalecache", 25 лютого 2026 року задокументувала блокчейн-компанія з кібербезпеки Hexens. Aptos розгорнула виправлення в mainnet протягом кількох годин. 27 лютого з'явився публічний pull request із технічним описом патча та прив'язкою до програми винагород за знайдені баги. Що саме дозволяв дефект Проблема містилася у Move VM — середовищі виконання, через яке проходить кожен смартконтракт у мережі. За оцінкою Hexens, баг теоретично відкривав шлях до захоплення on-chain struct'ів і ресурсів повноважень, тобто до маніпуляцій базовими структурами даних, що визначають, кому що належить у блокчейні. Дослідники Hexens відтворили proof-of-concept сценарії на сервері вартістю близько $3 000, а кожна спроба атаки обходилася в межах кількох сотень доларів. У симуляціях успішність сягала майже 90%. Hexens оцінила системний ризик у $70 млрд, включивши стейблкоїни, кросчейн-мости та DeFi-протоколи, побудовані на Aptos або пов'язані з ним. Мости вважаються особливо чутливою ціллю, адже акумулюють пул активів із кількох мереж, і один успішний експлойт здатен вивести кошти, що надійшли з інших ланцюгів. CTO Polygon Мудіт Гупта окремо переглянув proof-of-concept і підтвердив висновки дослідників. Реакція Aptos і подальша дискусія За час інциденту користувацькі кошти не постраждали. Aptos Labs пройшла шлях від виявлення до патча в mainnet за лічені години. Водночас компанія заперечила оцінки щодо практичної експлуатованості бага в реальних умовах mainnet, заявивши, що обмеження "в полі" роблять успішну атаку складнішою, ніж це показує симуляція. Ця позиція не узгоджується з незалежною валідацією proof-of-concept з боку Гупти. Публічний pull request від 27 лютого зафіксував технічні деталі виправлення та формалізував зв'язок із bug bounty програмою Aptos, яка передбачає винагороду до $1 млн за повідомлення про критичні вразливості. На що звернути увагу інвесторам і розробникам Оцінка системного ризику в $70 млрд відображає максимальну теоретичну експозицію за умови, що зловмисник зуміє одночасно з'єднати всі вразливі шляхи. Сервер за $3 000 і кількасот доларів за спробу — низький поріг входу для атаки на мережу з високою економічною цінністю. Протоколам, які використовують Aptos для розрахунків, насамперед кросчейн-мостам, варто сприймати це розкриття як сигнал перевірити власні залежності та провести аудит. Стеля винагороди Aptos у $1 млн за критичні знахідки є конкурентною, але з огляду на теоретичний масштаб збитків у десятки мільярдів доларів дослідник, який міг би продати таку вразливість на сірому ринку значно дорожче, обрав відповідальне розкриття.