Исследователи безопасности из компании Hexens 4 июля раскрыли детали критической уязвимости в блокчейне Aptos, которая теоретически ставила под угрозу до $70 млрд цифровых активов — но была закрыта ещё зимой. Речь о баге в Move-виртуальной машине (MoveVM), среде, где исполняются все смарт-контракты сети. Тип ошибки — «устаревший кеш», приводивший к путанице типов: программу можно было обмануть и заставить принять один вид ончейн-ресурса за другой, а значит — подменить структуры, определяющие, кому что принадлежит. Aptos построен на языке Move, наследии свёрнутого проекта Diem от Facebook, и подобные смарт-контракты считаются устойчивыми, но и они оказались уязвимы.

Больше всего впечатляет цена атаки. Hexens воспроизвела сценарий на серверной сборке примерно за $3000, сымитировав около трети валидаторов, а отдельные попытки обходились в сотни долларов — при этом успех в симуляциях достигал почти 90% и не требовал ни инсайдерского доступа, ни особых прав. Прямая экспозиция самого Aptos оценивалась в «низкие единицы миллиардов», а вот сумма в $70 млрд — это максимальный системный риск с учётом мостов, кросс-чейн сообщений и стейблкоинов, — как описано в техническом разборе находки.

Важно, что до реальной кражи дело не дошло. Уязвимость сообщили через программу вознаграждений 25 февраля, а патч выкатили на mainnet в течение считаных часов; публичный коммит появился 27 февраля. Средства не пострадали, следов эксплуатации не зафиксировано. Потолок баунти Aptos — $1 млн, тогда как на «сером» рынке такую находку можно было бы продать в разы дороже, но исследователи выбрали ответственное раскрытие.

Мой вывод. На мой взгляд, эта история — не про «дыру в Aptos», а про хрупкость связей между сетями. Сам по себе баг закрыли быстро и тихо, но оценка в $70 млрд напоминает: в мире мостов и общих стейблкоинов компрометация одной сети редко остаётся её личной проблемой. Для меня главный урок в другом — лимиты, заморозки эмитентов и мониторинг бирж здесь не «вторичная защита», а та граница, что отделяет локальный баг от рыночного обвала.

Материал носит информационный характер и не является инвестиционной рекомендацией — DYOR. Больше о рисках сетей и инфраструктуры — в разделе про безопасность.