Хакери: уразливість Aptos могла поставити під ризик до $70 млрд вартості в екосистемі
Ринкове зведення ШІ
Hexens розкрила в Move VM мережі Aptos ваду плутанини типів типу "stalecache", яка могла б дозволити перехоплення привілеїв із високим впливом (наприклад, контроль над емісією/містом) за допомогою недорогої інфраструктури, хоча Aptos заперечує практичну можливість експлуатації. Помилку виправили протягом двох днів, і кошти не було втрачено, однак публічне трактування як системного ризику на $70B може тиснути на короткострокову довіру до DeFi/мостів на базі Aptos та на сприйняття безпеки екосистеми Move.
Рівень впливу
● Середній
Активи, яких стосується
APT/USDT-2.25%
Інсайт ШІ · APT/USDTІнсайт ШІ
▼ Ведмежий
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
Двоє "білих" хакерів продемонстрували, що для потенційної компрометації одного з найкраще профінансованих L1-блокчейнів крипторинку могло вистачити серверної конфігурації орієнтовно за $3 тис. Виявлена ними проблема у віртуальній машині Move в мережі Aptos, за оцінкою, несла системний ризик на рівні $70 млрд, охоплюючи стейблкоїни, DeFi-протоколи, кросчейн-бриджі та маршрути взаємодії через централізовані біржі.
Атаку з витратами близько $3 тис. та ймовірністю успіху майже 90% змоделювала компанія з блокчейн-безпеки Hexens. 25 лютого 2026 року вона зафіксувала те, що назвала "stalecache bug" у Move VM Aptos. За описом Hexens, дефект у середовищі виконання смартконтрактів створював умови для вразливості класу type confusion: систему можна було змусити помилково трактувати типи даних. У такому сценарії зловмисник міг би перехопити критичні ончейн-ресурси, зокрема права на емісію та механізми керування бриджами.
Під час симуляції Hexens досягла результатів, які назвала показовими: за допомогою інфраструктури приблизно за $3 тис. рівень успіху наближався до 90% (17 із 20 запусків моделі атаки). Концепт експлуатації незалежно підтвердив CTO Polygon Мудіт Гупта, що додало ваги висновкам Hexens.
Оцінка $70 млрд не дорівнює прямому TVL Aptos. Як зазначає Hexens, йдеться про потенційний каскадний ефект для ширшої екосистеми: стейблкоїни, що спираються на інфраструктуру Aptos, DeFi-додатки поверх мережі, кросчейн-бриджі до інших блокчейнів, а також канали, через які операції проходять через централізовані біржі. Для порівняння, компанія з безпекового аналізу Grego AI оцінювала власний total value locked Aptos приблизно у $250 млн.
Aptos Labs не погодилася з оцінкою серйозності, заявивши, що у практичних умовах на живому мейннеті експлуатація мала низьку ймовірність.
Патч для мейннету Aptos Labs випустила за два дні після виявлення — 27 лютого. Втрат коштів не зафіксовано. Розкриття координували через екстрені канали SEAL911, а чотири залежні проєкти отримали попередження того ж дня, коли ідентифікували проблему. Публічна інформація з'явилася 4 липня 2026 року відповідно до практик відповідального розкриття.
Aptos також нагадала про програму винагород за вразливості з максимальним бонусом до $1 млн за критичні знахідки.
Для інвесторів і команд розробників історія важлива тим, що Move VM, створена спочатку в межах проєкту Diem від Meta, проєктувалася з фокусом на безпеку. Aptos конкурує із Sui (ще один L1 на Move), а також із Solana та рішеннями масштабування Ethereum. Навіть якщо оцінка системного ризику на $70 млрд оскаржується, сама її поява впливатиме на рішення DeFi-команд щодо вибору базового шару та оцінки його безпекової репутації.