نقص امنیتی آپتوس (Aptos) برطرف شد؛ خطر از بیخ گوش سرمایه‌گذاران گذشت

۱۴ تیر ۱۴۰۵

این آسیب‌پذیری توسط هکرهای کلاه‌سفید شناسایی شد و از طریق یک فرآیند امنیتی مسئولانه افشا گردید. بر اساس گزارش دقیقی که توسط شرکت امنیتی Hexens منتشر شده است، این نقص در MoveVM (موتور اجرایی که پردازش قراردادهای هوشمند را در بلاک‌چین آپتوس پشتیبانی می‌کند) قرار داشت. به گزارش ، هکرهای کلاه‌سفید با استفاده از

این آسیب‌پذیری توسط هکرهای کلاه‌سفید شناسایی شد و از طریق یک فرآیند امنیتی مسئولانه افشا گردید. بر اساس گزارش دقیقی که توسط شرکت امنیتی Hexens منتشر شده است، این نقص در MoveVM (موتور اجرایی که پردازش قراردادهای هوشمند را در بلاک‌چین آپتوس پشتیبانی می‌کند) قرار داشت. هکرهای کلاه‌سفید با استفاده از سروری با هزینه تقریبی ۳,۰۰۰ دلار، نقصی را کشف کردند که می‌توانست میلیاردها دلار از دارایی‌های کریپتو را در معرض خطر قرار دهد. هزینه پایین زیرساخت مورد نیاز برای شناسایی و اجرای احتمالی این حمله، نشان می‌دهد که این آسیب‌پذیری تا چه حد برای مهاجمان در دسترس بوده است. چرا هزینه پایین حمله، محاسبات ریسک را تغییر می‌دهد؟ در امنیت بلاک‌چین، هزینه اجرای یک حمله به اندازه شدت فنی آن اهمیت دارد. یک آسیب‌پذیری حیاتی که برای نفوذ به میلیون‌ها دلار سرمایه یا سخت‌افزار تخصصی نیاز دارد، نسبت به نقصی که تنها با چند صد دلار قابل انجام است، سطح تهدید متفاوتی را به همراه دارد. زمانی که موانع اجرای یک حمله تا این حد کاهش می‌یابد، طیف مهاجمان احتمالی به شدت گسترده می‌شود. هر مهاجم با مهارت متوسط و حداقل منابع می‌توانست این حمله را امتحان کند که فاصله زمانی بین کشف آسیب‌پذیری تا ارائه پچ امنیتی (Patch) را به شدت خطرناک می‌سازد. این پویایی همچنین خطر حملات تقلیدی را افزایش می‌دهد. به محض اینکه اطلاعات مربوط به یک اکسپلویت کم‌هزینه منتشر می‌شود، ساختار انگیزشی به شدت به سمت اجرای سریع حمله (به جای افشای مسئولانه) تغییر می‌کند. در اینجا، توانایی تیم آپتوس در برطرف کردن مشکل پیش از هرگونه سوءاستفاده تاییدشده، یک دستاورد حیاتی محسوب می‌شود. واکنش آپتوس به نقص MoveVM آپتوس تایید کرد که این آسیب‌پذیری پیش از از دست رفتن هرگونه سرمایه یا به خطر افتادن شبکه، برطرف شده است. برنامه پاداش‌یابی باگ (Bug Bounty) آپتوس که برای تشویق افشای مسئولانه طراحی شده است، در این فرآیند نقش داشت. این واقعیت که پچ امنیتی به‌صورت پیشگیرانه و قبل از هرگونه نفوذ مستقر شد، این اتفاق را به جای یک فاجعه، به یک داستان موفقیت امنیتی تبدیل می‌کند. برای کاربرانی که در طول دوره وجود آسیب‌پذیری دارایی‌هایی در آپتوس داشتند، هیچ اقدام خاصی فراتر از رعایت اصول اولیه امنیتی لازم نیست. این حادثه پس از دوره‌ای از تغییرات ساختاری و حاکمیتی در شبکه آپتوس رخ داد. این شبکه اخیراً فرآیندی را پشت سر گذاشته است که در آن سقف ۲.۱ میلیاردی و تنظیم ۱۰ برابری کارمزد گس (Gas) پیشنهاد شد و همچنین ضمن افزایش کارمزد شبکه، نرخ پاداش استیکینگ به ۲.۶ درصد کاهش یافت. این تغییرات ساختاری، حفظ یکپارچگی ماشین مجازی (VM) پایه را بیش از پیش حیاتی می‌سازد. پیامدهای این اتفاق برای کاربران، توسعه‌دهندگان و اعتبارسنج‌های آپتوس برای اعتبارسنج‌هایی (Validators) که نودهای آپتوس را اجرا می‌کنند، این حادثه اهمیت به‌روزرسانی‌های سریع نرم‌افزاری را برجسته می‌کند. نقص در MoveVM می‌توانست از نظر تئوری بر مکانیزم اجماع، پردازش تراکنش‌ها یا یکپارچگی وضعیت شبکه تأثیر بگذارد؛ اعتبارسنج‌ها مستقیماً مسئول حفظ این موارد هستند. توسعه‌دهندگانی که قراردادهای هوشمند را روی آپتوس مستقر می‌کنند باید توجه داشته باشند که آسیب‌پذیری‌های سطح ماشین مجازی (VM) می‌توانند برنامه‌ها را فارغ از اینکه قراردادها چقدر بی‌نقص نوشته شده‌اند، تحت تأثیر قرار دهند. نقص در لایه اجرایی، تمام اقدامات امنیتی سطح برنامه را دور می‌زند. اکوسیستم گسترده‌تر آپتوس که شاهد فعالیت‌های رو به رشدی از جمله برنامه‌ریزی برای راه‌اندازی استیبل‌کوین وون کره (KRW1) بوده است، به اعتماد نسبت به وضعیت امنیتی شبکه وابسته است. پچ سریع و شفاف به حفظ این اعتماد کمک می‌کند، اما وجود چنین آسیب‌پذیری حیاتی و کم‌هزینه‌ای احتمالاً باعث خواهد شد تا در آینده بازبینی‌های کد MoveVM با دقت بسیار بیشتری انجام شود. برای بازار گسترده‌تر کریپتو، این حادثه یادآور این نکته است که حتی معماری‌های جدیدتر بلاک‌چین که با زبان‌های برنامه‌نویسی امنیتی مانند Move ساخته شده‌اند نیز از نقص‌های حیاتی در امان نیستند. تفاوت بین یک حمله فاجعه‌بار و یک موفقیت امنیتی، اغلب به این بستگی دارد که آیا محققان اخلاقی زودتر از هکرها آسیب‌پذیری را پیدا می‌کنند یا خیر.
نقص امنیتی آپتوس (Aptos) برطرف شد؛ خطر از بیخ گوش سرمایه‌گذاران گذشت | اخبار تریدیار | تریدیار