
Hatalmas lyuk az Aptosban: egyetlen bug elég a válsághoz
A Hexens nevű biztonsági cég etikus hackerei február végén súlyos biztonsági rést fedeztek fel az Aptos blokkláncon, amelyet a fejlesztőcsapat szerencsére napokon belül befoltozott. A hibát úgynevezett „stale-cache” problémaként azonosították, amely egy típusösszekeverési sebezhetőséghez vezetett. Ez azt jelentette, hogy az Aptos Move virtuális gép átverhető volt, és egy rosszindulatú szereplő teljesen jogosulatlanul juthatott hozzá olyan rendszerszintű jogosultságokhoz, mint a stabilcoin-kibocsátás, hídadminisztráció vagy hitelpiaci adminisztráció.
A Hexens kutatói egy 1,1 millió forint értékű szervert beállítva, a hálózat közel harmadát szimulálva tesztelték a támadás működését. 20 kísérletből 17–18-szor sikerrel jártak – és mindezt anélkül, hogy különleges jogosultságok vagy bennfentes információk kellettek volna. Egy egyszerű támadó számára tehát olcsón, minimális információval is végrehajtható lett volna. Ebből adódóan egyetlen szerencsétlen véletlen elég lett volna a lánc bedőléséhez.
Milyen nagyságrendű volt a fenyegetés?
Az Aptos natív protokollján körülbelül 90 milliárd forintnyi (250 millió USD) értékű TVL (Total Value Locked) forgott közvetlenül veszélyben a kutatók szerint. Mindez még csak a jéghegy csúcsa volt: amennyiben a sérülékenységet valaki ténylegesen kihasználja, a rendszerhez kapcsolódó hidak, stabilcoin-rendszerek, DeFi protokollok és centralizált tőzsdék révén elérhetővé válik az egész Aptoshoz kötődő ökoszisztéma, ami összesen akár 25 ezermilliárd forintot (70 milliárd USD-t) sodorhatott volna közvetlen krízisbe.
Az Aptos jelenléte a hidakon keresztül több más blokklánccal is összefonódott: ilyenek a LayerZero, a Wormhole vagy a Circle-féle USDC Cross-Chain Transfer Protocol (CCTP) – mindegyik tarthatott volna attól, hogy egy támadó a kompromittált jogosultságok révén szó szerint elviszi a teljes, bent lévő TVL-t.
Ugyanakkor, ha hirtelen valaki tényleg 25 ezermilliárd forintnyi USDC-t bocsát ki, szinte biztos, hogy a kibocsátó Circle beavatkozna, befagyasztaná a tranzakciókat, de jogi szempontok miatt ez sem automatikus. Egy ilyen támadás tehát nemcsak az Aptost, hanem az egész kriptoszektort megrázhatta volna.
Egyetlen hibás típus: az egész ökoszisztéma megborulhatott volna
Az Aptos Move programozási nyelvének sajátossága, hogy a protokoll jogosultságai (például a tokenkibocsátás, hídadminisztráció, hitelpiacok irányítása) közvetlenül on-chain erőforrásként tárolódnak. Amennyiben ezek kompromittálódnak, a hatás nem áll meg egyetlen protokollnál: minden további rendszer, amely ezekre támaszkodik, azonnali veszélybe kerül.
A Hexens a legsúlyosabb forgatókönyvet egy Ethereum-szerű hibához hasonlította: képzeljük el, hogy egy támadó kóddal bármilyen más szerződés háttértárába át tud írni – ez az Aptos esetében azt eredményezhette volna, hogy a támadó bármilyen adminisztratív jogkört szabadon átvehet.
A támadás sikerének valószínűségét megbízható szimulációk igazolták, és bár az Aptos hivatalos álláspontja szerint „való világban a hiba kihasználhatósága extrém alacsony”, az ökoszisztéma múltbeli példái alapján ez a hozzáállás rendkívül veszélyes.
Hogyan reagált az iparág? Azonnali vészhelyzeti koordináció
Amint a Hexens rátalált a sérülékenységre, még aznap összehívták a SEAL911 vészhelyzeti csoportot, amely elsőként lép közbe hasonló, kritikus incidenseknél. Pár órán belül értesítették az Aptos fejlesztőit, valamint négy, közvetlenül érintett nagy projektet is figyelmeztettek, részletes, futtatható proof-of-concept anyagot mellékelve.
A hivatalos javítás nyilvános pull requestje február 27-én jelent meg, de a zárt validátorok már előbb megkapták a privát frissítést, így nem tűnt el semmilyen felhasználói vagyon, és nem keletkezett botrány.
A Hexens hozzátette: a hibának nemcsak az a tanulsága, hogy a blokkláncok mennyire sebezhetők, hanem az is, hogy egy kidolgozott támadás esetén a biztonsági rések felfedezése, a protokollkalibrációs technikák és a gyors, összehangolt iparági reakció jelentheti a különbséget az irányított beavatkozás és a teljes rendszerösszeomlás között.
Miért számít mindez?
A történtek rávilágítanak arra, hogy még a kriptopiac leginnovatívabb, legmodernebb rendszerei is tartalmaznak rejtett, veszélyes hibákat. Ezek felismerése és orvoslása nemcsak egyes láncokat, hanem az egész decentralizált pénzügyi ökoszisztémát védi. A jövőbeni incidensek megelőzéséhez nemcsak a fejlesztők ébersége szükséges, hanem a független kutatók, etikus hackerek és az iparági önszerveződés is kulcsfontosságú. Az egész rendszer stabilitását végül az ilyen összefogás képes megvédeni.
