Компанія з кібербезпеки Hexens, технічний директор Ваге Карапетян, 5 липня виявила в Move VM блокчейну Aptos вразливість застарілого кешу, що призводить до плутанини типів; ця вразливість може обманом змусити програмне забезпечення обійти гарантії безпеки типів мови Move. Hexens створила симуляційне середовище на сервері вартістю близько 3 000 доларів, і в 20 тестах успішність атаки досягла майже 90%.
Згідно з технічним звітом Hexens, команда Карапетяна для перевірки життєздатності вразливості створила симуляційне середовище, максимально наближене до масштабів основної мережі: понад 30 вузлів-валідаторів, розподіл ставок, наближений до основної мережі, реальний трафік транзакцій та висока конкуренція виконання, вартість розгортання — близько 3 000 доларів; реальна атака обійшлася б ще дешевше і не вимагала б прав валідатора, внутрішніх знань або привілейованого доступу.
Hexens провів близько 20 тестів у симуляційному середовищі, 17-18 з яких були успішними, що дає майже 90% успіху; навіть у рідкісних 2-3 невдачах мережа не зупинялася, і зловмисник міг просто почекати наступного вікна можливості.
Згідно з офіційними даними Aptos та CoinDesk, Hexens 25 лютого 2026 року повідомила про вразливість через програму bug bounty Aptos; Aptos заявив, що на момент отримання повідомлення команда вже працювала над цією проблемою. Того ж дня волонтерська кризова команда криптоіндустрії SEAL911 відкрила оперативний штаб; того ж дня вдень Aptos повідомив постраждалі сторони та 4 основні дочірні проєкти, додавши локально виконуваний PoC (доказ концепції).
Aptos повідомив CoinDesk: «Виправлення було розроблено, протестовано та розгорнуто в основній мережі протягом кількох годин після виявлення, жоден користувач або кошти не постраждали». Публічний pull request із виправленням з’явився 27 лютого, але приватні валідатори вже мали оновлення до публічного коміту.
Згідно з CoinDesk, оцінки Aptos та Hexens суттєво різняться: Aptos заявив, що «аналіз показує дуже низьку ймовірність експлуатації вразливості в реальних умовах», тоді як Hexens відповів, що досі не отримав жодного обґрунтованого технічного спростування.
Технічний директор Polygon Mudit Gupta після незалежного перегляду PoC зазначив: «Він працює, як заявлено, вразливість має сенс... Потрібно виконати кілька умов, і здається, що вони справді досягли цього в основній мережі».
Незалежна організація Grego AI після верифікації PoC, її CEO Justus Hanna прямо заявив: «Якби ця вразливість потрапила до рук зловмисника, він міг би забрати будь-який TVL (загальну заблоковану вартість), який би захотів».
Згідно з оцінками Hexens та Grego AI, масштаб ризику цієї вразливості поділяється на два рівні:
Прямий ризик для нативного TVL Aptos (оцінка Grego AI): при майже 90% успішності атаки під загрозою опинилося близько 250 мільйонів доларів нативного TVL Aptos, не враховуючи кросчейн-ризики.
Системний ризик (оцінка Hexens): до 70 мільярдів доларів, що охоплює кросчейн-мости, міжланцюгові системи повідомлень, процеси управління емісією стейблкоїнів та активи, доступні через централізовані біржі; ця цифра базується на припущенні, що зловмисник масово випускає USDC та переміщує активи через протокол кросчейн-переказів Circle (CCTP) на інші ланцюги.
Обмеження Circle: Circle заявив, що не заморожуватиме активи без юридичних повноважень, що означає обмежену ймовірність реалізації всього ризику на 70 мільярдів доларів, якщо сторони вчасно втрутяться.
Ризик поширення довірчого ланцюга: Критичні дозволи протоколів у мові Move (карбування стейблкоїнів, контроль над кросчейн-мостами, управління кредитними ринками) зберігаються у формі «ресурсів на ланцюзі», і якщо їх буде зламано, шкода пошириться через довірчий ланцюг на всі залежні системи.
Hexens під час тестування тимчасово отримав роль «master minter», діючи законним шляхом, зупинившись перед фактичним карбуванням, але це вже довело необхідність включення таких ролей у повну модель загроз.
Згідно з технічним звітом Hexens, це «вразливість застарілого кешу (stale-cache bug)», що призводить до «плутанини типів (type confusion)»; програмне забезпечення оманливо сприймає один ресурс ланцюга за інший, обходячи гарантії безпеки типів мови Move, що дозволяє коду, контрольованому зловмисником, безпосередньо записувати дані у сховище інших контрактів.
Згідно з офіційною заявою Aptos, після повідомлення 25 лютого 2026 року виправлення було розроблено, протестовано та розгорнуто в основній мережі протягом кількох годин, причому приватні валідатори отримали оновлення ще раніше; публічний PR з’явився 27 лютого; Aptos заявив, що жоден користувач або кошти не постраждали.
Згідно з оцінкою Hexens, 70 мільярдів доларів охоплюють кросчейн-мости, міжланцюгові системи повідомлень, емісію стейблкоїнів та активи, доступні через централізовані біржі; передумовою є масовий випуск USDC зловмисником та його переміщення через Circle CCTP на інші ланцюги. Circle заявив, що не заморожуватиме активи без юридичних повноважень, тому ймовірність повної реалізації ризику є обмеженою, якщо сторони вчасно втрутяться.
Пов’язані новини
Втрати через вразливість Hinkal DeFi становлять 820 тис. доларів, 410 ETH залучено до відмивання грошей.
Відомий трейдер відстежує: акції Strategy підозрюють у продажу 491 біткойна, автентичність ще потрібно перевірити.
Drift Protocol перейменовано на Velocity DEX, план перезапуску після крадіжки 280 мільйонів доларів
Втрати від крипто-хаків у червні впали до 75,9 мільйона доларів, експлойт Humanity лідирує.