logo
$7M Ultimate Champion
Зарегистрируйтесь и получите 15 000 USDT в наградах
Ограниченное предложение ждёт вас!

Уязвимость Aptos: как сервер за $3 000 выявил риск на $70 млрд

Ключевые моменты

Исследователи с сервером за $3 000 смогли смоделировать треть валидаторов Aptos и выявили уязвимость, которая теоретически могла поставить под угрозу активы на сумму до $70 млрд. Всё было исправлено до появления ущерба.

Сервер стоимостью около $3 000 не должен представлять угрозу для цифровых активов на сумму $70 млрд. Однако в конце февраля 2026 года специалисты по безопасности из Hexens использовали именно такой сервер, чтобы смоделировать примерно треть валидаторов сети Aptos и выявили критическую уязвимость в доверии сети в 17 или 18 из примерно 20 попыток. Для этого не потребовались ключи валидаторов, инсайдерский доступ или особые разрешения — только обычное оборудование и ошибка в виртуальной машине Aptos Move.

Уязвимость была оперативно сообщена через экстренные каналы, исправлена за несколько дней и не привела к финансовым потерям. Однако внимание к инциденту привлекла сумма, указанная Hexens: потенциальный системный риск оценивался примерно в $70 млрд, что касается не только Aptos, но и мостов, кроссчейн сообщений, прав выпуска стейблкоинов и балансов на централизованных биржах.

В этом материале:

  • Как работала уязвимость
  • Почему оценка риска оказалась столь высокой
  • Как проблему устранили до возникновения ущерба
  • Что это значит для держателей APT и пользователей других цепей на Move

Что произошло в сети Aptos

Уязвимость обнаружил Ваэ Карапетян, технический директор и соучредитель Hexens, и сообщил о ней в службу безопасности Aptos 25 февраля 2026 года. Публичный патч стал доступен спустя два дня, 27 февраля, а исправление было внедрено в основной сети в течение нескольких часов после подтверждения проблемы. Подробности оставались конфиденциальными более четырех месяцев и были опубликованы только около 4 июля 2026 года, когда сеть перешла на обновление и риск был устранен.

Такой разрыв между исправлением и раскрытием информации — стандартная практика при работе с критическими уязвимостями: до полного устранения не публикуются технические детали возможной атаки. К моменту раскрытия путь эксплуатации уже был закрыт для пользователей сети.

Aptos Labs отметили, что, по их анализу, уязвимость была "крайне маловероятна для эксплуатации в реальных условиях", хотя необходимость исправления признали. Hexens придерживаются иного мнения, и именно их результаты моделирования сделали этот случай значимым.

Как работала уязвимость (простым языком)

Любая цепочка смарт-контрактов должна постоянно определять тип и возможности каждого элемента данных. В Aptos этот процесс обеспечивает виртуальная машина Move, которая запускает каждый контракт и применяет все правила. Move известен тем, что делает некоторые классы атак невозможными на уровне архитектуры — поэтому данное открытие вызвало резонанс.

Ошибка была связана с кэшированием информации о типах VM. Состояние "устаревшего кэша" позволило, при определенных условиях, использовать старый тип вместо актуального. Это приводило к ошибке type-confusion, когда программное обеспечение воспринимает один ресурс как совершенно другой.

Простая аналогия: вам выдают билет гардероба на дешевое пальто, а затем этот же билет воспринимается как пропуск к банковскому сейфу. Сам билет не меняется, но значение — да. В блокчейне "полномочия" зачастую реализованы как on-chain ресурс: право выпуска токенов, контроль моста, ключ администратора рынка займов. Если VM удается обмануть и принять бесполезный объект за объект с полномочиями, атакующий получает доступ, который не предусмотрен протоколом.

Роль сервера за $3 000 заключалась в том, что некоторые временные окна для эксплуатации открываются только при контроле значительной части валидаторов. Смоделировав треть сети, исследователи получили достаточное влияние и достигли успеха более в 90% случаев. Это не случайная удача, а повторяемая атака, которую может арендовать мотивированный злоумышленник.

Почему сумма риска достигла $70 млрд

Фактически заблокировано в сетях Aptos было около $250 млн — значительно меньше заголовочной суммы. Но уязвимость, затрагивающая полномочия, теоретически могла распространиться намного шире.

Ошибка типа, дающая права на выпуск, не ограничивается одной сетью. Современная криптоинфраструктура объединена мостами, межсетевыми сообщениями и стейблкоинами, поэтому ложь, подтвержденная на одной цепи, может быть принята многими другими. Hexens оценили потенциальный ущерб для всех систем, доверяющих состоянию Aptos, и итоговая сумма приближается к $70 млрд.

Уровень риска Что могла затронуть ошибка Почему это важно
Собственные средства Aptos Около $250 млн на блокчейне Прямые средства на Aptos
Кроссчейн мосты Средства, заблокированные в мостах Фальшивый ресурс мог вывести активы
Права выпуска стейблкоинов Эмиссия USDC через протокол Circle Фальшивое разрешение — создание токенов
Биржевые балансы Депозиты, зачисленные через Aptos Поддельные переводы воспринимались бы как настоящие
Кроссчейн сообщения Состояния, передаваемые между сетями Одна ошибка могла распространиться далее

Самый тревожный пункт — выпуск стейблкоинов. USDC может выпускаться и перемещаться через протокол Circle, который доверяет сообщениям о событиях в подключённых сетях. В случае подделки доказательства на блокчейне злоумышленник мог бы создать новые стейблкоины без обеспечения и распространить их до того, как будет обнаружена ошибка. Это превращает локальную проблему в системный риск — аналогично другим крупным эксплойтам мостов в 2026 году.

Как уязвимость обнаружили до наступления ущерба

Эта часть истории должна успокоить держателей APT: ошибку нашли специалисты по безопасности, сообщили через специальный канал, и устранили до того, как её могли бы использовать злоумышленники. Механизм сработал так, как задумано.

Дата Событие
25.02.2026 Hexens сообщает об уязвимости через каналы безопасности Aptos
27.02.2026 Публичный патч опубликован
Конец февр. Исправление протестировано и внедрено, валидаторы обновлены
04.07.2026 Подробности раскрыты после устранения риска

Обнаружению способствовали два фактора. Во-первых, у Aptos есть программа вознаграждений, которая привлекает такие компании, как Hexens, и даёт честным исследователям мотивацию искать ошибки официально, а не продавать их на чёрном рынке. Во-вторых, архитектура Move позволила быстро локализовать и исправить баг благодаря строгой системе типов.

Однако есть и урок: один исследователь с довольно скромным оборудованием смог добиться успеха в симуляции более чем в 90% случаев. Это значит, что потенциально атака была доступна не только "хорошим парням". Защита сработала не потому, что эксплойт был слишком сложен, а потому что Hexens обнаружили и сообщили о нём раньше других.

К чему это приводит держателей APT и пользователей Move-чейнов

APT торгуется в районе $0,63 на начало июля 2026 года, и на публичное раскрытие информации рынок практически не отреагировал — угроза была устранена до публикации. Потерь средств, заморозки протоколов или insolvency не произошло. По факту — это история о патче, а не о кризисе.

Важный вывод для пользователей: новые высокопроизводительные чейны, такие как Aptos и его "родственники" на Move, действительно устраняют целые классы старых уязвимостей (например, reentrancy и overflow, часто встречающиеся в старых DeFi). Но "структурная безопасность" не означает абсолютную неуязвимость. У Move VM пока меньше опыта противостояния атакам, чем у среды исполнения Ethereum (которая подвергается аудитам уже десять лет).

Для трейдеров это повод для внимательного отношения к размеру позиций и осознанного управления рисками. APT относится к активам с повышенным риском, а кроссчейн-связи означают, что уязвимость одного токена способна затронуть и другие. Если вы храните стейблкоины или пользуетесь кроссчейн лендинговыми протоколами, ваш риск тоже зависит от безопасности Move-VM, так как эти системы доверяют данных, которые мог бы подделать подобный баг. Основной вывод — не избегать цепочек, а осознавать взаимосвязь безопасности между разными активами.

Часто задаваемые вопросы

Безопасно ли сейчас использовать Aptos?

Конкретная уязвимость была устранена в конце февраля 2026 года, потерь средств не было, поэтому этот путь атаки больше невозможен. Абсолютной гарантии безопасности нет в любом блокчейне, но Aptos стал только сильнее после закрытия критической ошибки.

Что такое уязвимость типа type-confusion?

Это ошибка, при которой программное обеспечение воспринимает данные за объект другого типа — например, билет из гардероба как пропуск в сейф. В блокчейне это может привести к тому, что злоумышленник получит полномочия, не предусмотренные протоколом.

Потерял ли кто-то деньги из-за уязвимости Aptos Move VM?

Нет, ущерба не было. Hexens сообщили об ошибке 25 февраля, исправление вышло через несколько дней, а рассекречивание информации отложили до полной ликвидации риска.

Коснется ли это других Move-блокчейнов, например, Sui?

Баг был специфичен для реализации Move VM в Aptos и не затрагивает все Move-сети. Однако это подчеркивает общность рисков для подобных сетей — важно следить за тем, как каждая из них обеспечивает свою безопасность.

Итог

Главный вывод — не сумма риска, а тот факт, что CTO с сервером за $3 000 и без доступа к внутренним ключам смог добиться успеха более чем в 90% попыток против одной из самых "безопасных" сетей. Разрыв между маркетингом и реальностью сокращается благодаря аудитам и быстрой реакции — оба механизма сработали здесь. Если Aptos продолжит оперативно платить вознаграждения за найденные уязвимости и регулярно проводить аудит VM, такая политика только укрепит доверие. Если токен APT удержится выше недавних минимумов на фоне усиления мер безопасности, этот случай станет скорее плюсом для репутации, чем негативной историей.

Данный материал предназначен исключительно для информационных целей и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой связана с высокими рисками. Перед принятием решений рекомендуется провести собственный анализ.

Зарегистрируйтесь и получите 15000 USDT
Отказ от ответственности
This content provided on this page is for informational purposes only and does not constitute investment advice, without representation or warranty of any kind. It should not be construed as financial, legal or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Products mentioned in this article may not be available in your region. Digital asset prices can be volatile. The value of your investment may go down or up and you may not get back the amount invested. For further information, please refer to our Условиями использования and Раскрытием рисков

Похожие статьи

Ethereum преодолевает $1,750: ключевые уровни для дальнейшего движения

Ethereum преодолевает $1,750: ключевые уровни для дальнейшего движения

Аналитика Рынка
2026-07-05
Биткоин вновь преодолел $63,000: спотовые ETF фиксируют положительный приток

Биткоин вновь преодолел $63,000: спотовые ETF фиксируют положительный приток

Аналитика Рынка
2026-07-05
Курс XRP сегодня: лидирует среди мейджоров на фоне восстановления BTC до $63,000

Курс XRP сегодня: лидирует среди мейджоров на фоне восстановления BTC до $63,000

Аналитика Рынка
2026-07-05
Криптоторговля в приложениях Sparkassen и кооперативных банков Германии: детали запуска

Криптоторговля в приложениях Sparkassen и кооперативных банков Германии: детали запуска

Аналитика Рынка
2026-07-05
Cardano (ADA): Рост перед запуском тестнета RealFi 6 июля

Cardano (ADA): Рост перед запуском тестнета RealFi 6 июля

Аналитика Рынка
2026-07-05
Топ-5 перпетуальных DEX-платформ 2026 года: Технический суверенитет

Топ-5 перпетуальных DEX-платформ 2026 года: Технический суверенитет

Аналитика Рынка
2026-07-02