Luka w Aptos mogła narazić nawet 70 mld USD wartości w ekosystemie — twierdzą hakerzy
Podsumowanie rynku AI
Hexens ujawniło błąd typu "stalecache" polegający na pomyleniu typów (type-confusion) w Move VM Aptos, który mógł umożliwić przejęcia uprawnień o dużym wpływie (np. kontrolę nad mintingiem/mostem) przy niskokosztowej infrastrukturze, choć Aptos kwestionuje praktyczną wykonalność wykorzystania. Luka została załatana w ciągu dwóch dni i nie utracono żadnych środków, ale publiczne ujęcie ryzyka systemowego na poziomie 70 mld USD może ciążyć na krótkoterminowym zaufaniu do DeFi/mostów opartych na Aptos oraz na postrzeganiu bezpieczeństwa ekosystemu Move.
Wpływ
● Średni
Aktywa, których dotyczy
APT/USDT-2.25%
Analiza AI · APT/USDTAnaliza AI
▼ Spadkowy
Handluj teraz
⚠️ Analizy generowane przez AI opierają się na treściach z wiadomości i mają charakter informacyjny. Nie stanowią porady inwestycyjnej ani nie odzwierciedlają poglądów BingX. Inwestowanie wiąże się z ryzykiem. Handluj odpowiedzialnie.
Dwóch "etycznych hakerów" pokazało, że konfiguracja serwerowa za ok. 3 tys. USD mogła wystarczyć, by potencjalnie naruszyć bezpieczeństwo jednego z najlepiej finansowanych blockchainów warstwy 1. Wykryta podatność w maszynie wirtualnej Move używanej przez Aptos miała — według ich szacunków — generować ryzyko systemowe rzędu 70 mld USD, obejmujące stablecoiny, protokoły DeFi, mosty cross-chain oraz ścieżki przepływu środków przez giełdy scentralizowane.
Błąd typu "stalecache" i niemal 90% skuteczności w symulacji
Firma zajmująca się bezpieczeństwem blockchain Hexens poinformowała, że 25 lutego 2026 r. odkryła w Move VM Aptos tzw. "stalecache bug". Usterka w warstwie wykonawczej smart kontraktów umożliwiała podatność typu type confusion, czyli wprowadzanie systemu w błąd co do rzeczywistych typów danych. W praktyce mogło to otworzyć drogę do przejęcia krytycznych zasobów on-chain, w tym uprawnień do mintingu oraz mechanizmów kontrolnych mostów.
W przeprowadzonej przez Hexens symulacji ataku użyto infrastruktury o koszcie ok. 3 tys. USD. Zespół osiągnął skuteczność bliską 90% — 17 udanych prób na 20. Dowód koncepcji niezależnie zweryfikował CTO Polygon, Mudit Gupta, co według Hexens wzmacnia wiarygodność ustaleń.
Skąd 70 mld USD i dlaczego Aptos kwestionuje skalę zagrożenia
Hexens oszacowało ryzyko systemowe na 70 mld USD. Nie jest to wartość TVL Aptos — firma oceniająca bezpieczeństwo Grego AI wskazywała ją na ok. 250 mln USD — lecz potencjalne skutki uboczne dla szerszego otoczenia: stablecoinów opartych o infrastrukturę Aptos, aplikacji DeFi budowanych na tej sieci, mostów łączących ją z innymi ekosystemami oraz kanałów przepływu środków przez scentralizowane giełdy.
Aptos Labs odniosło się krytycznie do tej oceny, argumentując, że podatność miała niską wykorzystywalność w realnych warunkach na działającym mainnecie.
Terminy, poprawka i ujawnienie
Aptos Labs załatało lukę na mainnecie dwa dni po wykryciu — 27 lutego. Spółka podała, że nie doszło do utraty środków. Koordynację ujawnienia przeprowadzono kanałami alarmowymi SEAL911, a cztery projekty zależne poinformowano tego samego dnia, w którym zidentyfikowano problem. Publiczne ujawnienie nastąpiło 4 lipca 2026 r. zgodnie z zasadami responsible disclosure.
Aptos utrzymuje program bug bounty, w ramach którego za poważne podatności przewidziane są nagrody do 1 mln USD.
Znaczenie dla inwestorów i zespołów DeFi
Move VM, wywodząca się z projektu Diem rozwijanego pierwotnie w Meta, była projektowana z naciskiem na bezpieczeństwo. Aptos konkuruje m.in. z Sui (również opartym o Move) oraz z Solaną i rozwiązaniami skalującymi Ethereum. Szacunek ryzyka systemowego na poziomie 70 mld USD — nawet jeśli kwestionowany — staje się istotnym elementem oceny dla zespołów DeFi wybierających warstwę bazową i analizujących historię bezpieczeństwa danej sieci.