
Сервер стоимостью около $3 000 не должен представлять угрозу для цифровых активов на сумму $70 млрд. Однако в конце февраля 2026 года специалисты по безопасности из Hexens использовали именно такой сервер, чтобы смоделировать примерно треть валидаторов сети Aptos и выявили критическую уязвимость в доверии сети в 17 или 18 из примерно 20 попыток. Для этого не потребовались ключи валидаторов, инсайдерский доступ или особые разрешения — только обычное оборудование и ошибка в виртуальной машине Aptos Move.
Уязвимость была оперативно сообщена через экстренные каналы, исправлена за несколько дней и не привела к финансовым потерям. Однако внимание к инциденту привлекла сумма, указанная Hexens: потенциальный системный риск оценивался примерно в $70 млрд, что касается не только Aptos, но и мостов, кроссчейн сообщений, прав выпуска стейблкоинов и балансов на централизованных биржах.
В этом материале:
- Как работала уязвимость
- Почему оценка риска оказалась столь высокой
- Как проблему устранили до возникновения ущерба
- Что это значит для держателей APT и пользователей других цепей на Move
Что произошло в сети Aptos
Уязвимость обнаружил Ваэ Карапетян, технический директор и соучредитель Hexens, и сообщил о ней в службу безопасности Aptos 25 февраля 2026 года. Публичный патч стал доступен спустя два дня, 27 февраля, а исправление было внедрено в основной сети в течение нескольких часов после подтверждения проблемы. Подробности оставались конфиденциальными более четырех месяцев и были опубликованы только около 4 июля 2026 года, когда сеть перешла на обновление и риск был устранен.
Такой разрыв между исправлением и раскрытием информации — стандартная практика при работе с критическими уязвимостями: до полного устранения не публикуются технические детали возможной атаки. К моменту раскрытия путь эксплуатации уже был закрыт для пользователей сети.
Aptos Labs отметили, что, по их анализу, уязвимость была "крайне маловероятна для эксплуатации в реальных условиях", хотя необходимость исправления признали. Hexens придерживаются иного мнения, и именно их результаты моделирования сделали этот случай значимым.
Как работала уязвимость (простым языком)
Любая цепочка смарт-контрактов должна постоянно определять тип и возможности каждого элемента данных. В Aptos этот процесс обеспечивает виртуальная машина Move, которая запускает каждый контракт и применяет все правила. Move известен тем, что делает некоторые классы атак невозможными на уровне архитектуры — поэтому данное открытие вызвало резонанс.
Ошибка была связана с кэшированием информации о типах VM. Состояние "устаревшего кэша" позволило, при определенных условиях, использовать старый тип вместо актуального. Это приводило к ошибке type-confusion, когда программное обеспечение воспринимает один ресурс как совершенно другой.
Простая аналогия: вам выдают билет гардероба на дешевое пальто, а затем этот же билет воспринимается как пропуск к банковскому сейфу. Сам билет не меняется, но значение — да. В блокчейне "полномочия" зачастую реализованы как on-chain ресурс: право выпуска токенов, контроль моста, ключ администратора рынка займов. Если VM удается обмануть и принять бесполезный объект за объект с полномочиями, атакующий получает доступ, который не предусмотрен протоколом.
Роль сервера за $3 000 заключалась в том, что некоторые временные окна для эксплуатации открываются только при контроле значительной части валидаторов. Смоделировав треть сети, исследователи получили достаточное влияние и достигли успеха более в 90% случаев. Это не случайная удача, а повторяемая атака, которую может арендовать мотивированный злоумышленник.
Почему сумма риска достигла $70 млрд
Фактически заблокировано в сетях Aptos было около $250 млн — значительно меньше заголовочной суммы. Но уязвимость, затрагивающая полномочия, теоретически могла распространиться намного шире.
Ошибка типа, дающая права на выпуск, не ограничивается одной сетью. Современная криптоинфраструктура объединена мостами, межсетевыми сообщениями и стейблкоинами, поэтому ложь, подтвержденная на одной цепи, может быть принята многими другими. Hexens оценили потенциальный ущерб для всех систем, доверяющих состоянию Aptos, и итоговая сумма приближается к $70 млрд.
| Уровень риска | Что могла затронуть ошибка | Почему это важно |
|---|---|---|
| Собственные средства Aptos | Около $250 млн на блокчейне | Прямые средства на Aptos |
| Кроссчейн мосты | Средства, заблокированные в мостах | Фальшивый ресурс мог вывести активы |
| Права выпуска стейблкоинов | Эмиссия USDC через протокол Circle | Фальшивое разрешение — создание токенов |
| Биржевые балансы | Депозиты, зачисленные через Aptos | Поддельные переводы воспринимались бы как настоящие |
| Кроссчейн сообщения | Состояния, передаваемые между сетями | Одна ошибка могла распространиться далее |
Самый тревожный пункт — выпуск стейблкоинов. USDC может выпускаться и перемещаться через протокол Circle, который доверяет сообщениям о событиях в подключённых сетях. В случае подделки доказательства на блокчейне злоумышленник мог бы создать новые стейблкоины без обеспечения и распространить их до того, как будет обнаружена ошибка. Это превращает локальную проблему в системный риск — аналогично другим крупным эксплойтам мостов в 2026 году.
Как уязвимость обнаружили до наступления ущерба
Эта часть истории должна успокоить держателей APT: ошибку нашли специалисты по безопасности, сообщили через специальный канал, и устранили до того, как её могли бы использовать злоумышленники. Механизм сработал так, как задумано.
| Дата | Событие |
|---|---|
| 25.02.2026 | Hexens сообщает об уязвимости через каналы безопасности Aptos |
| 27.02.2026 | Публичный патч опубликован |
| Конец февр. | Исправление протестировано и внедрено, валидаторы обновлены |
| 04.07.2026 | Подробности раскрыты после устранения риска |
Обнаружению способствовали два фактора. Во-первых, у Aptos есть программа вознаграждений, которая привлекает такие компании, как Hexens, и даёт честным исследователям мотивацию искать ошибки официально, а не продавать их на чёрном рынке. Во-вторых, архитектура Move позволила быстро локализовать и исправить баг благодаря строгой системе типов.
Однако есть и урок: один исследователь с довольно скромным оборудованием смог добиться успеха в симуляции более чем в 90% случаев. Это значит, что потенциально атака была доступна не только "хорошим парням". Защита сработала не потому, что эксплойт был слишком сложен, а потому что Hexens обнаружили и сообщили о нём раньше других.
К чему это приводит держателей APT и пользователей Move-чейнов
APT торгуется в районе $0,63 на начало июля 2026 года, и на публичное раскрытие информации рынок практически не отреагировал — угроза была устранена до публикации. Потерь средств, заморозки протоколов или insolvency не произошло. По факту — это история о патче, а не о кризисе.
Важный вывод для пользователей: новые высокопроизводительные чейны, такие как Aptos и его "родственники" на Move, действительно устраняют целые классы старых уязвимостей (например, reentrancy и overflow, часто встречающиеся в старых DeFi). Но "структурная безопасность" не означает абсолютную неуязвимость. У Move VM пока меньше опыта противостояния атакам, чем у среды исполнения Ethereum (которая подвергается аудитам уже десять лет).
Для трейдеров это повод для внимательного отношения к размеру позиций и осознанного управления рисками. APT относится к активам с повышенным риском, а кроссчейн-связи означают, что уязвимость одного токена способна затронуть и другие. Если вы храните стейблкоины или пользуетесь кроссчейн лендинговыми протоколами, ваш риск тоже зависит от безопасности Move-VM, так как эти системы доверяют данных, которые мог бы подделать подобный баг. Основной вывод — не избегать цепочек, а осознавать взаимосвязь безопасности между разными активами.
Часто задаваемые вопросы
Безопасно ли сейчас использовать Aptos?
Конкретная уязвимость была устранена в конце февраля 2026 года, потерь средств не было, поэтому этот путь атаки больше невозможен. Абсолютной гарантии безопасности нет в любом блокчейне, но Aptos стал только сильнее после закрытия критической ошибки.
Что такое уязвимость типа type-confusion?
Это ошибка, при которой программное обеспечение воспринимает данные за объект другого типа — например, билет из гардероба как пропуск в сейф. В блокчейне это может привести к тому, что злоумышленник получит полномочия, не предусмотренные протоколом.
Потерял ли кто-то деньги из-за уязвимости Aptos Move VM?
Нет, ущерба не было. Hexens сообщили об ошибке 25 февраля, исправление вышло через несколько дней, а рассекречивание информации отложили до полной ликвидации риска.
Коснется ли это других Move-блокчейнов, например, Sui?
Баг был специфичен для реализации Move VM в Aptos и не затрагивает все Move-сети. Однако это подчеркивает общность рисков для подобных сетей — важно следить за тем, как каждая из них обеспечивает свою безопасность.
Итог
Главный вывод — не сумма риска, а тот факт, что CTO с сервером за $3 000 и без доступа к внутренним ключам смог добиться успеха более чем в 90% попыток против одной из самых "безопасных" сетей. Разрыв между маркетингом и реальностью сокращается благодаря аудитам и быстрой реакции — оба механизма сработали здесь. Если Aptos продолжит оперативно платить вознаграждения за найденные уязвимости и регулярно проводить аудит VM, такая политика только укрепит доверие. Если токен APT удержится выше недавних минимумов на фоне усиления мер безопасности, этот случай станет скорее плюсом для репутации, чем негативной историей.
Данный материал предназначен исключительно для информационных целей и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой связана с высокими рисками. Перед принятием решений рекомендуется провести собственный анализ.






