logo
$7M Ultimate Champion
Зарегистрируйтесь и получите 15 000 USDT в наградах
Ограниченное предложение ждёт вас!

Безопасны ли блокчейны Move: анализ уязвимости Aptos и Sui на $70 млрд

Ключевые моменты

Hexens выявила баг типа type-confusion в Aptos Move VM на $70 млрд в июле 2026 года; проблема была устранена до ущерба. Анализируются риски Move-сетей для держателей APT и SUI.

4 июля 2026 года Hexens, компания по кибербезопасности, раскрыла, что один баг типа type-confusion в виртуальной машине Aptos Move теоретически ставил под угрозу $70 млрд стоимости активов. Исследователи воспроизвели эксплойт на эмуляторе Aptos c использованием сервера за $3,000, достигнув примерно 90% успеха, и сообщили о проблеме команде Aptos в конце февраля. Aptos устранила уязвимость до запуска основной сети, и средства пользователей не пострадали.

Такой масштаб вызывает вопросы у держателей активов Move. Aptos и Sui используют язык программирования, унаследованный от закрытого проекта Meta Diem; Movement и Sei также основаны на его принципах. Возникает вопрос — насколько вся категория блокчейнов Move подвержена подобным рискам?

В этой статье рассматривается суть уязвимости, ее реальное влияние, различия между ведущими сетями Move и значение этого инцидента для владельцев токенов APT или SUI.

В чем заключалась уязвимость на $70 млрд

Hexens описали проблему как баг кэша, приведший к type-confusion, когда виртуальная машина могла ошибочно принять один тип ресурса за другой. Для языка, построенного вокруг концепции ресурсов и контроля прав, подмена типа — критичная ошибка, открывающая возможность злоумышленнику получить неавторизованный доступ.

Число $70 млрд — это расчетный системный риск, а не реальный пул средств в одном контракте. В расчет входили все активы, которые могли быть теоретически скомпрометированы через подделку прав, включая мосты, кроссчейн-системы, стейблкоины и централизованные платформы, связанные с Aptos. В зону риска попадали инфраструктурные возможности протоколов LayerZero, Wormhole и системы кроссчейн-переводов USDC.

Два фактора не дали проблеме перерасти в инцидент: баг был обнаружен в ходе частного аудита и устранен за месяцы до публикации; эксплойт был воспроизведен лишь в лабораторных условиях, не на основной сети. Важный момент — для поиска критической уязвимости не понадобился бюджет крупной организации: достаточно было относительно недорогого оборудования и глубокого понимания Move VM.

Что такое Move и где он используется

Move — это язык программирования, ориентированный на ресурсы, созданный командой Diem (Meta). Основная идея: цифровые активы моделируются как ресурсы, которые нельзя копировать или удалять незаметно — только перемещать между владельцами. Такой подход исключает класс ошибок, часто приводивших к потерям на более ранних платформах смарт-контрактов, что делает Move привлекательным для разработчиков.

Move — это не одна сеть, а архитектурный подход, реализованный разными командами. Aptos реализует модель учетных записей с параллельной обработкой транзакций (Block-STM). Sui использует объектно-ориентированную модель и собственную версию языка — Sui Move — на отдельной виртуальной машине. Movement (MOVE) нацелен на совместимость с Ethereum, а Sei использует собственный параллельный дизайн.

Важно отличать сам язык Move от реализации конкретной командой. Язык определяет правила типов, прав и доступа. Виртуальная машина реализует эти правила на практике — именно здесь и находился баг. Ошибка в реализации одной команды — не обязательно системный недочет всей архитектуры.

Уязвимость затронула только Aptos или и Sui?

Это ключевой вопрос для оценки риска. Баг был только в VM Aptos: баг кэша был в коде, написанном инженерами Aptos для ускорения доступа к ресурсам. Код Sui не пересекается с этим компонентом.

Sui использует Sui Move на собственной VM, созданной Mysten Labs, и объектно-ориентированную модель владения, отличную от системы Aptos. Хотя философия языка Move унаследована, различия в реализации существенны: баг кэша в одной VM не влияет на другую. Sui, как и Movement и Sei, не были уязвимы для этого конкретного бага.

Важное уточнение: баг — это ошибка реализации, а не недостаток самой типовой системы Move. Языковые правила сработали корректно; ошибка была в механизме кэширования данных одной виртуальной машины. Подобные ошибки могут случиться в любой высокопроизводительной системе, вне зависимости от используемого языка.

Aptos и Sui: разные профили риска

Обе сети выросли из одной команды Diem, но развились по-разному. Aptos лидирует по внедрению стейблкоинов и корпоративных решений, Sui — по развитию ончейн-экономики (источник). Вот сравнительная таблица состояния проектов на середину 2026 года:

Параметр Aptos (APT) Sui (SUI)
Запуск и команда Mainnet 2022, Aptos Labs (ex-Meta Diem) Mainnet 2023, Mysten Labs (ex-Meta Diem)
Модель данных Учетные записи Объектно-ориентированная
Диалект Move Core Move Sui Move (отдельная VM)
Консенсус Aptos BFT с Block-STM Mysticeti, финальность < 1 сек
Капитализация стейблкоинов Лидер среди Move, около $1.6 млрд Около $700 млн
DeFi TVL До $1 млрд на пике До $2.6 млрд на пике
Подверженность багу июля Исправлено, потерь не было Не затронут

Обе сети нельзя однозначно назвать более безопасной. Aptos недавно прошел через реальное испытание, оперативно устранил уязвимость и сохранил средства пользователей. Sui не затронуло этот баг из-за другой реализации виртуальной машины, но у Sui меньше опыта публичных инцидентов и больше сумма TVL в DeFi, что может увеличить потенциальный риск.

Что делать держателям APT или SUI?

Вывод более спокоен, чем может показаться из заголовка. Критический баг был найден профессионалами, сообщен через ответственную процедуру и устранен до того, как кто-либо понес убытки. Это пример эффективного процесса обеспечения безопасности. Причиной для беспокойства служит лишь тот случай, когда баги обнаруживаются злоумышленниками и приводят к потерям.

Инцидент подтверждает: Move-сети — молодые проекты с еще изучаемой поверхностью атаки. Найти серьезную уязвимость удалось с помощью доступного оборудования, а значит, риск появления новых критичных багов сохраняется для Aptos, Sui и других аналогичных сетей. Это не повод избегать Move-активов, но важно учитывать инфраструктурные риски и отдавать приоритет проектам с открытыми аудитами и активными программами bug bounty. Подробнее о типичных эксплойтах читайте в нашем материале о взломах DeFi и мостов.

Для трейдеров краткосрочный эффект минимален, так как никаких потерь не произошло: нет принудительных ликвидаций и угрозы неплатежеспособности протокола. Для APT событие стало репутационным, а не финансовым, и цена выдержала новость без сильных колебаний.

Часто задаваемые вопросы

Затрагивала ли уязвимость Aptos сеть Sui?

Нет. Баг type-confusion находился в виртуальной машине Aptos Move, которую Sui не использует. Sui работает на собственной реализации Sui Move и объектно-ориентированной VM от Mysten Labs, поэтому этот баг не был релевантен.

Означает ли сумма $70 млрд, что столько могли украсть?

Не напрямую. Это расчет максимального риска — все, что злоумышленник мог бы потенциально получить через подделку прав доступа, включая мосты и стейблкоины. На практике Aptos устранил баг до того, как он стал известен широкой публике, и никто не понес убытков.

Является ли язык Move небезопасным?

Уязвимость была связана с реализацией кэширования в VM одной команды, а не с типовой системой языка. Модель ресурсов Move осталась надежной. Язык Move считается одним из лучших для предотвращения ошибок с дублированием активов, но ни один язык не защищает от ошибок в программном обеспечении.

Стоит ли продавать APT или SUI из-за этого?

С точки зрения безопасности эксплойта оснований нет. Средства не пострадали, уязвимость устранена. Рационально — учитывать, что это молодые сети с более высоким инфраструктурным риском по сравнению с устоявшимися блокчейнами, и отдавать предпочтение проектам с открытыми аудитами и программами bug bounty.

Итоги

Сумма $70 млрд отражает потенциальный, а не реализовавшийся риск. Hexens обнаружили критическую уязвимость в VM Aptos, Aptos устранил ее до публичного раскрытия, и средства не были под угрозой. Sui, Movement и Sei не пострадали, так как баг был в коде одной VM и не распространялся на другие сети. Важно следить за результатами публичных аудитов и подходить к инвестициям в молодые сети Move с учетом инфраструктурных рисков.

Данный материал предназначен исключительно для информационных целей и не является финансовой или инвестиционной консультацией. Торговля криптовалютой связана со значительными рисками. Всегда проводите собственный анализ перед совершением сделок.

Зарегистрируйтесь и получите 15000 USDT
Отказ от ответственности
Содержимое, предоставленное на этой странице, предназначено исключительно для информационных целей и не является инвестиционным советом, без каких-либо представлений или гарантий. Это не должно рассматриваться как финансовый, юридический или иной профессиональный совет, и не предназначено для рекомендации покупки какого-либо конкретного продукта или услуги. Вам следует обратиться за советом к соответствующим профессиональным консультантам. Продукты, упомянутые в этой статье, могут быть недоступны в вашем регионе. Цены на цифровые активы могут быть волатильными. Стоимость вашей инвестиции может уменьшиться или увеличиться, и вы можете не вернуть инвестированную сумму. Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Раскрытием рисков