نقص امنیتی آپتوس (Aptos) برطرف شد؛ خطر از بیخ گوش سرمایهگذاران گذشت
۱۴ تیر ۱۴۰۵
این آسیبپذیری توسط هکرهای کلاهسفید شناسایی شد و از طریق یک فرآیند امنیتی مسئولانه افشا گردید. بر اساس گزارش دقیقی که توسط شرکت امنیتی Hexens منتشر شده است، این نقص در MoveVM (موتور اجرایی که پردازش قراردادهای هوشمند را در بلاکچین آپتوس پشتیبانی میکند) قرار داشت. به گزارش ، هکرهای کلاهسفید با استفاده از
این آسیبپذیری توسط هکرهای کلاهسفید شناسایی شد و از طریق یک فرآیند امنیتی مسئولانه افشا گردید. بر اساس گزارش دقیقی که توسط شرکت امنیتی Hexens منتشر شده است، این نقص در MoveVM (موتور اجرایی که پردازش قراردادهای هوشمند را در بلاکچین آپتوس پشتیبانی میکند) قرار داشت.
هکرهای کلاهسفید با استفاده از سروری با هزینه تقریبی ۳,۰۰۰ دلار، نقصی را کشف کردند که میتوانست میلیاردها دلار از داراییهای کریپتو را در معرض خطر قرار دهد. هزینه پایین زیرساخت مورد نیاز برای شناسایی و اجرای احتمالی این حمله، نشان میدهد که این آسیبپذیری تا چه حد برای مهاجمان در دسترس بوده است.
چرا هزینه پایین حمله، محاسبات ریسک را تغییر میدهد؟
در امنیت بلاکچین، هزینه اجرای یک حمله به اندازه شدت فنی آن اهمیت دارد. یک آسیبپذیری حیاتی که برای نفوذ به میلیونها دلار سرمایه یا سختافزار تخصصی نیاز دارد، نسبت به نقصی که تنها با چند صد دلار قابل انجام است، سطح تهدید متفاوتی را به همراه دارد.
زمانی که موانع اجرای یک حمله تا این حد کاهش مییابد، طیف مهاجمان احتمالی به شدت گسترده میشود. هر مهاجم با مهارت متوسط و حداقل منابع میتوانست این حمله را امتحان کند که فاصله زمانی بین کشف آسیبپذیری تا ارائه پچ امنیتی (Patch) را به شدت خطرناک میسازد.
این پویایی همچنین خطر حملات تقلیدی را افزایش میدهد. به محض اینکه اطلاعات مربوط به یک اکسپلویت کمهزینه منتشر میشود، ساختار انگیزشی به شدت به سمت اجرای سریع حمله (به جای افشای مسئولانه) تغییر میکند. در اینجا، توانایی تیم آپتوس در برطرف کردن مشکل پیش از هرگونه سوءاستفاده تاییدشده، یک دستاورد حیاتی محسوب میشود.
واکنش آپتوس به نقص MoveVM
آپتوس تایید کرد که این آسیبپذیری پیش از از دست رفتن هرگونه سرمایه یا به خطر افتادن شبکه، برطرف شده است. برنامه پاداشیابی باگ (Bug Bounty) آپتوس که برای تشویق افشای مسئولانه طراحی شده است، در این فرآیند نقش داشت.
این واقعیت که پچ امنیتی بهصورت پیشگیرانه و قبل از هرگونه نفوذ مستقر شد، این اتفاق را به جای یک فاجعه، به یک داستان موفقیت امنیتی تبدیل میکند. برای کاربرانی که در طول دوره وجود آسیبپذیری داراییهایی در آپتوس داشتند، هیچ اقدام خاصی فراتر از رعایت اصول اولیه امنیتی لازم نیست.
این حادثه پس از دورهای از تغییرات ساختاری و حاکمیتی در شبکه آپتوس رخ داد. این شبکه اخیراً فرآیندی را پشت سر گذاشته است که در آن سقف ۲.۱ میلیاردی و تنظیم ۱۰ برابری کارمزد گس (Gas) پیشنهاد شد و همچنین ضمن افزایش کارمزد شبکه، نرخ پاداش استیکینگ به ۲.۶ درصد کاهش یافت. این تغییرات ساختاری، حفظ یکپارچگی ماشین مجازی (VM) پایه را بیش از پیش حیاتی میسازد.
پیامدهای این اتفاق برای کاربران، توسعهدهندگان و اعتبارسنجهای آپتوس
برای اعتبارسنجهایی (Validators) که نودهای آپتوس را اجرا میکنند، این حادثه اهمیت بهروزرسانیهای سریع نرمافزاری را برجسته میکند. نقص در MoveVM میتوانست از نظر تئوری بر مکانیزم اجماع، پردازش تراکنشها یا یکپارچگی وضعیت شبکه تأثیر بگذارد؛ اعتبارسنجها مستقیماً مسئول حفظ این موارد هستند.
توسعهدهندگانی که قراردادهای هوشمند را روی آپتوس مستقر میکنند باید توجه داشته باشند که آسیبپذیریهای سطح ماشین مجازی (VM) میتوانند برنامهها را فارغ از اینکه قراردادها چقدر بینقص نوشته شدهاند، تحت تأثیر قرار دهند. نقص در لایه اجرایی، تمام اقدامات امنیتی سطح برنامه را دور میزند.
اکوسیستم گستردهتر آپتوس که شاهد فعالیتهای رو به رشدی از جمله برنامهریزی برای راهاندازی استیبلکوین وون کره (KRW1) بوده است، به اعتماد نسبت به وضعیت امنیتی شبکه وابسته است. پچ سریع و شفاف به حفظ این اعتماد کمک میکند، اما وجود چنین آسیبپذیری حیاتی و کمهزینهای احتمالاً باعث خواهد شد تا در آینده بازبینیهای کد MoveVM با دقت بسیار بیشتری انجام شود.
برای بازار گستردهتر کریپتو، این حادثه یادآور این نکته است که حتی معماریهای جدیدتر بلاکچین که با زبانهای برنامهنویسی امنیتی مانند Move ساخته شدهاند نیز از نقصهای حیاتی در امان نیستند. تفاوت بین یک حمله فاجعهبار و یک موفقیت امنیتی، اغلب به این بستگی دارد که آیا محققان اخلاقی زودتر از هکرها آسیبپذیری را پیدا میکنند یا خیر.