
4 июля 2026 года Hexens, компания по кибербезопасности, раскрыла, что один баг типа type-confusion в виртуальной машине Aptos Move теоретически ставил под угрозу $70 млрд стоимости активов. Исследователи воспроизвели эксплойт на эмуляторе Aptos c использованием сервера за $3,000, достигнув примерно 90% успеха, и сообщили о проблеме команде Aptos в конце февраля. Aptos устранила уязвимость до запуска основной сети, и средства пользователей не пострадали.
Такой масштаб вызывает вопросы у держателей активов Move. Aptos и Sui используют язык программирования, унаследованный от закрытого проекта Meta Diem; Movement и Sei также основаны на его принципах. Возникает вопрос — насколько вся категория блокчейнов Move подвержена подобным рискам?
В этой статье рассматривается суть уязвимости, ее реальное влияние, различия между ведущими сетями Move и значение этого инцидента для владельцев токенов APT или SUI.
В чем заключалась уязвимость на $70 млрд
Hexens описали проблему как баг кэша, приведший к type-confusion, когда виртуальная машина могла ошибочно принять один тип ресурса за другой. Для языка, построенного вокруг концепции ресурсов и контроля прав, подмена типа — критичная ошибка, открывающая возможность злоумышленнику получить неавторизованный доступ.
Число $70 млрд — это расчетный системный риск, а не реальный пул средств в одном контракте. В расчет входили все активы, которые могли быть теоретически скомпрометированы через подделку прав, включая мосты, кроссчейн-системы, стейблкоины и централизованные платформы, связанные с Aptos. В зону риска попадали инфраструктурные возможности протоколов LayerZero, Wormhole и системы кроссчейн-переводов USDC.
Два фактора не дали проблеме перерасти в инцидент: баг был обнаружен в ходе частного аудита и устранен за месяцы до публикации; эксплойт был воспроизведен лишь в лабораторных условиях, не на основной сети. Важный момент — для поиска критической уязвимости не понадобился бюджет крупной организации: достаточно было относительно недорогого оборудования и глубокого понимания Move VM.
Что такое Move и где он используется
Move — это язык программирования, ориентированный на ресурсы, созданный командой Diem (Meta). Основная идея: цифровые активы моделируются как ресурсы, которые нельзя копировать или удалять незаметно — только перемещать между владельцами. Такой подход исключает класс ошибок, часто приводивших к потерям на более ранних платформах смарт-контрактов, что делает Move привлекательным для разработчиков.
Move — это не одна сеть, а архитектурный подход, реализованный разными командами. Aptos реализует модель учетных записей с параллельной обработкой транзакций (Block-STM). Sui использует объектно-ориентированную модель и собственную версию языка — Sui Move — на отдельной виртуальной машине. Movement (MOVE) нацелен на совместимость с Ethereum, а Sei использует собственный параллельный дизайн.
Важно отличать сам язык Move от реализации конкретной командой. Язык определяет правила типов, прав и доступа. Виртуальная машина реализует эти правила на практике — именно здесь и находился баг. Ошибка в реализации одной команды — не обязательно системный недочет всей архитектуры.
Уязвимость затронула только Aptos или и Sui?
Это ключевой вопрос для оценки риска. Баг был только в VM Aptos: баг кэша был в коде, написанном инженерами Aptos для ускорения доступа к ресурсам. Код Sui не пересекается с этим компонентом.
Sui использует Sui Move на собственной VM, созданной Mysten Labs, и объектно-ориентированную модель владения, отличную от системы Aptos. Хотя философия языка Move унаследована, различия в реализации существенны: баг кэша в одной VM не влияет на другую. Sui, как и Movement и Sei, не были уязвимы для этого конкретного бага.
Важное уточнение: баг — это ошибка реализации, а не недостаток самой типовой системы Move. Языковые правила сработали корректно; ошибка была в механизме кэширования данных одной виртуальной машины. Подобные ошибки могут случиться в любой высокопроизводительной системе, вне зависимости от используемого языка.
Aptos и Sui: разные профили риска
Обе сети выросли из одной команды Diem, но развились по-разному. Aptos лидирует по внедрению стейблкоинов и корпоративных решений, Sui — по развитию ончейн-экономики (источник). Вот сравнительная таблица состояния проектов на середину 2026 года:
| Параметр | Aptos (APT) | Sui (SUI) |
|---|---|---|
| Запуск и команда | Mainnet 2022, Aptos Labs (ex-Meta Diem) | Mainnet 2023, Mysten Labs (ex-Meta Diem) |
| Модель данных | Учетные записи | Объектно-ориентированная |
| Диалект Move | Core Move | Sui Move (отдельная VM) |
| Консенсус | Aptos BFT с Block-STM | Mysticeti, финальность < 1 сек |
| Капитализация стейблкоинов | Лидер среди Move, около $1.6 млрд | Около $700 млн |
| DeFi TVL | До $1 млрд на пике | До $2.6 млрд на пике |
| Подверженность багу июля | Исправлено, потерь не было | Не затронут |
Обе сети нельзя однозначно назвать более безопасной. Aptos недавно прошел через реальное испытание, оперативно устранил уязвимость и сохранил средства пользователей. Sui не затронуло этот баг из-за другой реализации виртуальной машины, но у Sui меньше опыта публичных инцидентов и больше сумма TVL в DeFi, что может увеличить потенциальный риск.
Что делать держателям APT или SUI?
Вывод более спокоен, чем может показаться из заголовка. Критический баг был найден профессионалами, сообщен через ответственную процедуру и устранен до того, как кто-либо понес убытки. Это пример эффективного процесса обеспечения безопасности. Причиной для беспокойства служит лишь тот случай, когда баги обнаруживаются злоумышленниками и приводят к потерям.
Инцидент подтверждает: Move-сети — молодые проекты с еще изучаемой поверхностью атаки. Найти серьезную уязвимость удалось с помощью доступного оборудования, а значит, риск появления новых критичных багов сохраняется для Aptos, Sui и других аналогичных сетей. Это не повод избегать Move-активов, но важно учитывать инфраструктурные риски и отдавать приоритет проектам с открытыми аудитами и активными программами bug bounty. Подробнее о типичных эксплойтах читайте в нашем материале о взломах DeFi и мостов.
Для трейдеров краткосрочный эффект минимален, так как никаких потерь не произошло: нет принудительных ликвидаций и угрозы неплатежеспособности протокола. Для APT событие стало репутационным, а не финансовым, и цена выдержала новость без сильных колебаний.
Часто задаваемые вопросы
Затрагивала ли уязвимость Aptos сеть Sui?
Нет. Баг type-confusion находился в виртуальной машине Aptos Move, которую Sui не использует. Sui работает на собственной реализации Sui Move и объектно-ориентированной VM от Mysten Labs, поэтому этот баг не был релевантен.
Означает ли сумма $70 млрд, что столько могли украсть?
Не напрямую. Это расчет максимального риска — все, что злоумышленник мог бы потенциально получить через подделку прав доступа, включая мосты и стейблкоины. На практике Aptos устранил баг до того, как он стал известен широкой публике, и никто не понес убытков.
Является ли язык Move небезопасным?
Уязвимость была связана с реализацией кэширования в VM одной команды, а не с типовой системой языка. Модель ресурсов Move осталась надежной. Язык Move считается одним из лучших для предотвращения ошибок с дублированием активов, но ни один язык не защищает от ошибок в программном обеспечении.
Стоит ли продавать APT или SUI из-за этого?
С точки зрения безопасности эксплойта оснований нет. Средства не пострадали, уязвимость устранена. Рационально — учитывать, что это молодые сети с более высоким инфраструктурным риском по сравнению с устоявшимися блокчейнами, и отдавать предпочтение проектам с открытыми аудитами и программами bug bounty.
Итоги
Сумма $70 млрд отражает потенциальный, а не реализовавшийся риск. Hexens обнаружили критическую уязвимость в VM Aptos, Aptos устранил ее до публичного раскрытия, и средства не были под угрозой. Sui, Movement и Sei не пострадали, так как баг был в коде одной VM и не распространялся на другие сети. Важно следить за результатами публичных аудитов и подходить к инвестициям в молодые сети Move с учетом инфраструктурных рисков.
Данный материал предназначен исключительно для информационных целей и не является финансовой или инвестиционной консультацией. Торговля криптовалютой связана со значительными рисками. Всегда проводите собственный анализ перед совершением сделок.
