Сервера стоимостью 3000 долларов США было достаточно, чтобы исследователь безопасности блокчейна смоделировал путь атаки, по их словам, которая могла бы поставить под угрозу криптоинфраструктуру на сумму до 70 миллиардов долларов.
В центре раскрытия была ошибка в Aptos, блокчейне первого уровня, построенном на Move, языке смарт-контрактов, используемом Aptos и Sui, который возник из отложенного проекта Facebook Dispan.
В конце февраля исследователи из компании Hexens, занимающейся безопасностью блокчейнов, сообщили команде разработчиков проекта о критической уязвимости в виртуальной машине Aptos Move, среде выполнения, которая обрабатывает смарт-контракты в цепочке. Hexens определила то, что она описала как «ошибку устаревшего кэша», приводящую к уязвимости путаницы типов — состоянию, при котором программное обеспечение можно обманом заставить рассматривать один тип ресурсов цепочки как другой.
Команда Aptos исправила уязвимость, когда она была отмечена, и средства не были потеряны.
«25 февраля Aptos Labs была уведомлена о потенциальной проблеме через нашу программу вознаграждения за ошибки, которая в то время уже рассматривалась внутри компании», — сообщил CoinDesk представитель Aptos. «Исправление было разработано, протестировано и развернуто в основной сети в течение нескольких часов после обнаружения. Ни пользователи, ни средства ни на каком этапе не пострадали».
Представитель Aptos также оспорил CoinDesk практическую возможность использования ошибки. «Наш анализ показал, что эта ошибка будет иметь крайне низкую вероятность использования в реальных условиях».
Однако детали того, что обнаружили исследователи, дают отрезвляющий взгляд на то, насколько близка экосистема подошла к событию, потенциально способному изменить отрасль.
Чувствительность этого класса ошибок сводится к тому, как язык Move обрабатывает полномочия. Разрешения протокола в Move, включая право выпускать стейблкоины, управлять мостом или управлять рынком кредитования, часто хранятся непосредственно в виде ресурсов в цепочке. Если эти ресурсы будут скомпрометированы, ущерб не ограничивается одним протоколом. Оно распространяется на все, что им доверяет.
Исследователи Hexens предложили практическую аналогию этой ошибке: ее можно примерно сравнить с ошибкой в цепочке в стиле Ethereum, которая позволяла контролируемому злоумышленником коду записывать в хранилище, принадлежащее другим контрактам, в обход гарантий системы типов, для поддержки которых специально был разработан Move.
Мудит Гупта, технический директор Polygon, независимо изучил материалы, подтверждающие концепцию, и заявил, что эксплойт сохранился. «Все работало так, как заявлено, и эксплойт имел смысл», — сказал он CoinDesk. «Требовалось выполнить несколько условий, что, похоже, они и сделали в основной сети».
Поставщик был уведомлен через несколько часов после открытия хранилищ, а в тот же день были оповещены четыре крупных последующих проекта, каждый из которых получил материалы для проверки концепции и анализ соответствующих авторитетных моделей, пригодных для локального использования.
Публичный запрос на включение, отражающий исправление, стал доступен 27 февраля. Aptos заявила, что патч для частного валидатора был развернут до публичной фиксации.
В то же время компания Hexens заявляет, что не получила технических опровержений или доказательных аргументов, оспаривающих продемонстрированные классы воздействия. Фирма утверждает, что основное беспокойство, которое было передано исследователям, было связано с вероятностными аспектами эксплойта, а именно для решения этой задачи была разработана работа команды по калибровке.
Хотя средства не были украдены, моделирование показало, что при компрометации на уровне блокчейна ограничения ставок, замораживание эмитентов, контроль мостов, мониторинг обмена и исправления валидаторов не являются вторичными мерами защиты. Они могут стать границей между локализованной ошибкой и эксплойтом, распространяющимся на весь рынок.
- 1Следующий вариант использования токенизации — персонализированные портфели, говорит руководитель NYLIMда, 31 минута
- 2Биткойн подскочил выше 63 000 долларов, компенсируя потери конца июняиль да 2 часа
- 3Эксперты по биткойнам разделились по поводу плана заморозить 1,1 миллиона биткойнов Сатоши по мере роста квантовой угрозыиль да 2 часа
- 4Почему отключение биткойна от рекордно высоких акций не продлится долгоили да, 4 часа
- 5По данным блокчейна, количество покупателей криптовалютных токенов Трампа сократилось на 3,8 миллиарда долларовда, 5 часов
- 6Европа лидировала в регулировании криптовалют. Теперь реализация должна соответствовать амбициямили да, 6 часов
- 7ЕС пытается заблокировать розничных инвесторов от взрывного бума многомиллиардных рынков прогнозовили да, 6 часов
- 8Новые смелые криптографические правила Великобритании обещают разблокировать глобальную торговлю, но огромные препятствия на пути их соблюдения по-прежнему угрожают их внедрению.или да, 8 часов
- 9XRP вырос на 8%, так как потери рекордсменов сигнализируют о лучшем вознаграждении за риск для покупателейили да, 13 часов
- 10Для следующего параболического роста Биткойна может потребоваться 1 триллион долларов свежего капиталаили да, 13 часов
Создание машины Zcash: тахионная и квантовая готовность
Создание машины Zcash: тахионная и квантовая готовность
Обновление Zcash Tachyon направлено на масштабирование защищенных платежей, повышение квантовой готовности и проверку устойчивости финансирования, безопасности и управления.
Обновление Zcash Tachyon направлено на масштабирование защищенных платежей, повышение квантовой готовности и проверку устойчивости финансирования, безопасности и управления.
Почему это важно:
Обновление Zcash Tachyon направлено на масштабирование защищенных платежей, повышение квантовой готовности и проверку устойчивости финансирования, безопасности и управления.
Постоянные обновления: биткойн поднимается выше 62 000 долларов, поскольку раскаленная торговля полупроводниками начинает угасать
Постоянные обновления: биткойн держится выше 61 000 долларов, поскольку акции акций падают в начале квартала
Институциональный запуск Ethereum пользуется поддержкой всей экосистемы Ethereum.
