Hexens menemukan kerentanan kebingungan tipe Aptos, tingkat keberhasilan serangan mendekati 90%.

APT2,24%

Kepala Teknologi Hexens, Vahe Karapetyan, pada 5 Juli menemukan kerentanan cache basi di Mesin Virtual Move blockchain Aptos yang menyebabkan kebingungan tipe; kerentanan ini dapat menipu perangkat lunak untuk melewati jaminan keamanan tipe bahasa Move. Hexens membangun lingkungan simulasi dengan server senilai sekitar 3.000 dolar AS, dan dalam 20 kali pengujian tingkat keberhasilan serangan mendekati 90%.

Server 3.000 Dolar AS, 20 Simulasi, 17-18 Berhasil, Tingkat Keberhasilan Serangan Mendekati 90%

Menurut laporan teknis Hexens, tim Karapetyan untuk memverifikasi kelayakan kerentanan membangun lingkungan simulasi yang mendekati skala mainnet: lebih dari 30 node validator, distribusi staking mendekati mainnet, volume transaksi nyata dan persaingan eksekusi intensitas tinggi, biaya pembangunan sekitar 3.000 dolar AS; jika meluncurkan serangan nyata, biayanya akan lebih rendah, dan tidak memerlukan izin validator, pengetahuan internal, atau akses istimewa.

Hexens menguji sekitar 20 kali di lingkungan simulasi, berhasil 17-18 kali, tingkat keberhasilan mendekati 90%; meskipun kadang 2-3 kali gagal, itu tidak akan membuat jaringan berhenti, penyerang dapat dengan sabar menunggu jendela kesempatan berikutnya.

SEAL911 Turun Tangan, Perbaikan Selesai dalam Beberapa Jam dan Memberitahu Proyek Hilir

Menurut laporan resmi Aptos dan CoinDesk, Hexens melaporkan kerentanan melalui program bug bounty Aptos pada 25 Februari 2026; Aptos menyatakan bahwa ketika laporan diterima tim internal sudah menangani masalah ini. Tim tanggap darurat relawan industri kripto SEAL911 membuka ruang operasi pada hari yang sama; pada sore hari yang sama, Aptos memberi tahu vendor yang terdampak dan 4 proyek hilir utama, serta memberikan proof of concept (PoC) yang dapat dijalankan secara lokal.

Aptos mengatakan kepada CoinDesk: "Perbaikan dikembangkan, diuji, dan diterapkan ke mainnet dalam hitungan jam setelah ditemukan, tidak ada pengguna atau dana yang terpengaruh selama seluruh proses." Pull request perbaikan publik dirilis pada 27 Februari, tetapi validator privat telah menyelesaikan penerapan perbaikan sebelum commit publik.

CTO Polygon Mudit Gupta dan Grego AI Memverifikasi PoC Efektif Secara Independen

Menurut laporan CoinDesk, terdapat kesenjangan signifikan antara penilaian resmi Aptos dan Hexens: Aptos menyatakan "analisis menunjukkan kerentanan ini sangat sulit dieksploitasi dalam kondisi dunia nyata", Hexens menanggapi bahwa hingga saat ini belum menerima bantahan teknis berbasis bukti.

CTO Polygon Mudit Gupta setelah meninjau PoC secara independen mengatakan: "Ini berjalan seperti yang diklaim, kerentanan masuk akal... beberapa kondisi harus dipenuhi, tampaknya mereka benar-benar mencapainya di mainnet."

Setelah lembaga independen Grego AI memverifikasi PoC, CEO Justus Hanna berkata terus terang: "Jika pelaku jahat mendapatkan kerentanan ini, mereka dapat mengambil TVL (Total Value Locked) apa pun yang mereka inginkan."

Estimasi Risiko: Eksposur Langsung TVL Asli Aptos Sekitar 250 Juta Dolar AS

Menurut penilaian Hexens dan Grego AI, skala risiko kerentanan ini dibagi menjadi dua tingkatan:

Eksposur Langsung TVL Asli Aptos (Penilaian Grego AI): Berdasarkan tingkat keberhasilan serangan mendekati 90%, sekitar 250 juta dolar AS TVL asli Aptos terancam langsung, tidak termasuk eksposur lintas rantai.

Risiko Sistemik (Penilaian Hexens): Hingga 70 miliar dolar AS, mencakup jembatan lintas rantai, sistem pesan lintas rantai, proses manajemen penerbitan stablecoin, dan aset yang dapat dijangkau bursa terpusat; angka ini dengan asumsi penyerang mencetak USDC dalam jumlah besar dan memindahkan aset ke rantai lain melalui Protokol Transfer Lintas Rantai (CCTP) Circle.

Batasan Circle: Circle menyatakan tidak akan membekukan aset tanpa otorisasi hukum, yang berarti jika semua pihak campur tangan tepat waktu, kemungkinan realisasi penuh risiko 70 miliar dolar AS terbatas.

Risiko Perambatan Rantai Kepercayaan: Izin protokol kunci dalam bahasa Move (mencetak stablecoin, mengontrol jembatan lintas rantai, mengelola pasar pinjaman) disimpan sebagai 'sumber daya on-chain', begitu diretas, kerusakan akan merambat melalui rantai kepercayaan ke semua sistem yang bergantung padanya.

Dalam pengujian nyata, Hexens sempat mengambil alih peran seperti 'master minter', beroperasi melalui jalur manajemen yang sah, berhenti sebelum benar-benar mencetak koin, tetapi sudah cukup untuk membuktikan bahwa peran semacam ini harus dimasukkan dalam model ancaman yang lengkap.

Pertanyaan Umum

Apa itu kerentanan Aptos Move VM dan bagaimana cara kerjanya?

Menurut laporan teknis Hexens, ini adalah 'kerentanan cache basi (stale-cache bug)' yang menyebabkan 'kebingungan tipe (type confusion)'; perangkat lunak ditipu untuk salah mengartikan suatu sumber daya on-chain sebagai yang lain, melewati jaminan keamanan tipe bahasa Move, setara dengan membiarkan kode yang dikendalikan penyerang menulis langsung ke ruang penyimpanan kontrak lain.

Apakah kerentanan ini telah diperbaiki, dan bagaimana jadwal perbaikannya?

Menurut pernyataan resmi Aptos, kerentanan dilaporkan pada 25 Februari 2026 dan dalam beberapa jam perbaikan selesai, diuji, dan diterapkan ke mainnet; validator privat menyelesaikan penerapan lebih awal; PR publik dirilis pada 27 Februari; Aptos menyatakan tidak ada pengguna atau dana yang terpengaruh selama proses.

Bagaimana risiko sistemik sebesar 70 miliar dolar AS yang dinilai Hexens dihitung?

Menurut penilaian Hexens, 70 miliar dolar AS mencakup jembatan lintas rantai, sistem pesan lintas rantai, penerbitan stablecoin, dan aset yang dapat dijangkau bursa terpusat; dengan asumsi penyerang mencetak USDC dalam jumlah besar dan memindahkannya ke rantai lain melalui Circle CCTP. Circle menyatakan tidak akan membekukan aset tanpa otorisasi hukum, jika semua pihak campur tangan tepat waktu, kemungkinan realisasi penuh risiko terbatas.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar