Специалисты компании по безопасности Hexens в конце февраля сообщили команде Aptos о критической ошибке в виртуальной машине Move — среде, которая исполняет смарт-контракты в этом блокчейне. Команда Aptos закрыла уязвимость после сигнала, и ни один пользователь не потерял деньги. Тем не менее детали находки дают отрезвляющую картину того, как работают скрытые баги на уровне самого блокчейна.
Что за уязвимость нашли в блокчейне Aptos
Hexens описали проблему как «баг устаревшего кеша», ведущий к уязвимости типа type-confusion. Простыми словами — это состояние, при котором программу можно обмануть и заставить принять один тип данных в блокчейне за другой. Move создавался специально для того, чтобы такое было невозможно, поэтому находка бьёт по фундаменту его модели безопасности.
Опасность именно этого класса багов — в том, как язык Move работает с правами. Разрешения протоколов здесь, включая право выпускать стейблкоин, управлять мостом или администрировать кредитный рынок, часто хранятся прямо как ресурсы в блокчейне. Если такой ресурс скомпрометирован, ущерб не останавливается на одном протоколе — он расходится на всё, что этому протоколу доверяет.
CTO Polygon Мудит Гупта независимо изучил proof-of-concept и подтвердил, что эксплойт рабочий. По его словам, атака сработала как заявлено и требовала выполнения нескольких условий, которые исследователи, судя по всему, воспроизвели в мейннете. Компания Grego AI, тоже проверявшая материалы, посчитала, что напрямую под угрозой было около $250 млн в TVL самого Aptos — без учёта более широкой межсетевой экспозиции.
Откуда взялась цифра в $70 млрд
Уязвимость обнаружил Ваэ Карапетян, CTO и сооснователь Hexens. Если бы её не закрыли, она могла бы вскрыть куда более крупную системную зону риска — через мосты, стейблкоины, DeFi-протоколы и централизованные биржи. Прямую экспозицию на самом Aptos Hexens оценили в несколько миллиардов долларов, но взломы на уровне блокчейна редко останавливаются на одной цепочке.
� Заходите в наш Telegram-чат 2Bitcoins, если хотите обсудить новость с другими читателями.
Более широкий системный риск компания оценила примерно в $70 млрд. Это сумма, доступная через мосты, системы межсетевого обмена сообщениями, потоки администрирования стейблкоинов и централизованные биржи. Grego AI отметила, что эксплойт позволял украсть и полномочия протоколов, включая права LayerZero, Wormhole и CCTP от USDC. По словам CEO компании Джастуса Ханны, при доступе к багу злоумышленники могли забрать столько TVL, сколько захотят.

Основной риск шёл через мосты, стейблкоины и депозиты на биржах
Стоит понимать, что $70 млрд — это оценка, построенная на сценарии выпуска огромного объёма USDC и его перемещения между сетями через протокол Circle CCTP. На практике, если бы кто-то это провернул, Circle с высокой вероятностью остановила бы переводы USDC, хотя её подход к заморозке недавно подвергся критике — компания заявляла, что не блокирует активы без правового основания. То есть при вмешательстве всех сторон полная цифра в $70 млрд вряд ли была бы достигнута, но удар по индустрии всё равно оказался бы мощным.
Чтобы понять масштаб, достаточно сравнения. Такой взлом теоретически легко превзошёл бы кражу $1,4 млрд криптовалют в ходе атаки на Bybit в прошлом году. А в июне Zcash обвалился на 38% после того, как разработчики раскрыли критический баг, четыре года незаметно живший в приватном пуле и позволявший печатать неограниченное число поддельных токенов.
Почему сервера за $3,000 хватило для атаки
Самое тревожное — цена входа. Полная стоимость инфраструктуры для эксперимента составила около $3,000 за сервер, который воспроизводил условия, близкие к мейннету Aptos. Реальному злоумышленнику понадобилось бы и того меньше: без доступа к валидаторам, без инсайдерских знаний и без привилегированных прав в протоколе.
� Следите за новостями в нашем Telegram-канале 2Bitcoins.
Команда прогнала сценарий атаки около 20 раз в смоделированной среде и добилась успеха в 17-18 случаях — это почти 90%. Две-три неудачные попытки не роняли сеть, а значит, атакующий просто получал новое окно, чтобы попробовать снова.
Симуляцию построили так, чтобы она максимально повторяла реальные условия сети: кластер из более чем 30 узлов-валидаторов, распределение стейка как в мейннете, органический трафик транзакций и высокая нагрузка на исполнение. Отдельно Hexens применяли «калибровочные» прогоны, которые заранее замеряли состояние мемпула и сборки блоков перед боевой попыткой. По словам компании, это заметно снижало неопределённость, связанную с вероятностной природой эксплойта, и делало атаку надёжнее.
Это не первый случай, когда чужие мощности используют против блокчейна — в своё время хакеры майнили криптовалюту на взломанном облачном сервере Tesla. Но здесь речь шла не о краже вычислений, а о полном обходе гарантий безопасности сети.
Как отреагировали Aptos и команда безопасности
В тот же день, когда Hexens подали отчёт, была открыта экстренная «warroom» SEAL911 — волонтёрская группа безопасности, ставшая ключевым слоем первого реагирования в индустрии криптовалют. Разработчиков уведомили через несколько часов, а во второй половине дня предупредили четыре крупных зависимых проекта, передав им материалы proof-of-concept и разбор релевантных схем доступа.
Публичный запрос с патчем появился 27 февраля. При этом Aptos заявила, что приватный патч для валидаторов был развёрнут ещё до публичного коммита. Представитель Aptos сообщил, что о проблеме команду уведомили 25 февраля через программу вознаграждений за баги, и исправление было разработано, протестировано и выкачено в мейннет в течение часов. По его словам, ни пользователи, ни средства не пострадали ни в один момент.
Важный нюанс: Aptos оспаривает практическую эксплуатируемость бага, утверждая, что в реальных условиях его использовать было бы крайне сложно. Hexens же говорят, что не получили технического опровержения с доказательствами против продемонстрированного ущерба — основная претензия к ним касалась вероятностной части атаки, которую как раз и должна была снять калибровочная работа команды.
Этот спор двух сторон и есть главное, за чем стоит следить дальше: одна команда говорит о системном риске в десятки миллиардов, другая - о крайне низкой вероятности реальной атаки. Пока средства целы, но история напоминает, что при взломе на уровне блокчейна лимиты, заморозки эмитентов, контроль мостов и патчи валидаторов перестают быть второстепенной подстраховкой - именно они становятся границей между локальным багом и рыночным кризисом.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
