Ein Server im Wert von 3.000 US-Dollar reichte einem Blockchain-Sicherheitsexperten aus, um einen Angriffsweg zu simulieren, der seiner Aussage zufolge Kryptowährungsinfrastrukturen im Wert von bis zu 70 Milliarden US-Dollar gefährden könnte.
Im Mittelpunkt der Offenlegung stand eine Schwachstelle bei Aptos, einer Layer-1-Blockchain, die auf Move basiert, dem Smart-Contract-Sprache, die von Aptos und Sui verwendet wird und aus dem eingestellten Diem-Projekt von Facebook hervorgeht.
Ende Februar meldeten Forscher des Blockchain-Sicherheitsunternehmens Hexens dem Entwicklungsteam des Projekts eine kritische Schwachstelle in der Aptos Move Virtual Machine, der Ausführungsumgebung, die Smart Contracts auf der Chain verarbeitet. Hexens identifizierte einen sogenannten „Stale-Cache-Bug“, der zu einer Type-Confusion-Sicherheitslücke führt, eine Situation, in der Software dazu gebracht werden kann, eine Art von Onchain-Ressource fälschlicherweise als eine andere zu behandeln. Der
Das Aptos-Team hat die Sicherheitslücke behoben, sobald sie erkannt wurde, und es wurden keine Gelder verloren.
„Aptos Labs wurde am 25. Februar über unser Bug-Bounty-Programm auf ein potenzielles Problem aufmerksam gemacht, das zu diesem Zeitpunkt bereits intern geprüft wurde“, teilte ein Sprecher von Aptos CoinDesk mit. „Ein Fix wurde entwickelt, getestet und innerhalb von Stunden nach der Entdeckung im Mainnet eingesetzt. Zu keinem Zeitpunkt waren Nutzer oder Gelder betroffen.“
Der Aptos-Sprecher widersprach gegenüber CoinDesk zudem der praktischen Ausnutzbarkeit des Fehlers. „Unsere Analyse ergab, dass die Ausnutzbarkeit des Fehlers unter realen Bedingungen äußerst gering wäre.“
Die Einzelheiten dessen, was die Forscher herausgefunden haben, bieten jedoch einen ernüchternden Einblick, wie nahe das Ökosystem einem potenziell die Branche verändernden Ereignis gekommen ist.
Die Sensitivität dieser Fehlerklasse beruht darauf, wie die Programmiersprache Move Autorität handhabt. Protokollberechtigungen in Move, einschließlich des Rechts, einen Stablecoin zu prägen, eine Brücke zu steuern oder einen Kreditmarkt zu verwalten, werden häufig direkt als On-Chain-Ressourcen gespeichert. Wenn diese Ressourcen kompromittiert werden, beschränkt sich der Schaden nicht auf ein einzelnes Protokoll. Er erstreckt sich auf alles, was ihnen vertraut.
Die Forscher von Hexens boten eine praktische Analogie zu dem Fehler an: Er ist ungefähr vergleichbar mit einem Fehler in einer Ethereum-ähnlichen Blockchain, der es angriffskontrolliertem Code ermöglichen würde, in den Speicher anderer Verträge zu schreiben und dabei die Typsystemgarantien zu umgehen, die Move speziell gewährleisten soll.
Mudit Gupta, CTO von Polygon, hat die Proof-of-Concept-Unterlagen unabhängig überprüft und bestätigt, dass der Exploit funktionierte. „Er lief wie angegeben, und der Exploit ergab Sinn“, sagte er gegenüber CoinDesk. „Es mussten einige Bedingungen erfüllt sein, was auf dem Mainnet offenbar der Fall war.“
Unterdessen berechnete Grego AI, das unabhängig den Machbarkeitsnachweis von Hexens überprüfte, dass basierend auf der nahezu 90%igen Erfolgsquote etwa 250 Millionen US-Dollar an Aptos-native TVL direkt gefährdet waren, unabhängig von der weiter gefassten Cross-Chain-Exponierung.
Der Anbieter wurde Stunden nach der Eröffnung des War Rooms informiert, und am Nachmittag desselben Tages wurden vier bedeutende nachgelagerte Projekte alarmiert, die jeweils lokal ausführbares Proof-of-Concept-Material sowie eine Analyse relevanter Autoritätsmuster erhielten.
Ein öffentlicher Pull Request, der den Patch widerspiegelt, wurde am 27. Februar verfügbar gemacht. Aptos erklärte, dass ein Patch für den privaten Validator vor dem öffentlichen Commit bereitgestellt worden war.
Hexens hingegen erklärt, dass es keine technische Widerlegung oder argumentativ fundierte Gegenbeweise bezüglich der nachgewiesenen Wirkungsklassen erhalten hat. Das Unternehmen gibt an, dass die Hauptbedenken, die an die beteiligten Forscher zurückgemeldet wurden, die probabilistischen Aspekte des Exploits betrafen – genau jene, die durch die Kalibrierungsarbeit des Teams adressiert werden sollten.
Obwohl keine Gelder gestohlen wurden, zeigte die Simulation, dass bei einer Kompromittierung auf Blockchain-Ebene Limitierungen der Transaktionsrate, Einfrierungen durch den Emittenten, Brückenkontrollen, Überwachung von Börsen und Validatoren-Patches keine sekundären Schutzmaßnahmen sind. Sie können die Grenze zwischen einem eingedämmten Fehler und einem markenweiten Exploit bilden.

-
1Der nächste Anwendungsfall der Tokenisierung sind personalisierte Portfolios, sagt ein NYLIM-Managervor 46 Minuten
-
2Bitcoin steigt über 63.000 US-Dollar und kehrt Verluste vom Ende Juni umvor 2 Stunden
-
3Bitcoin-Experten uneins über Plan zur Einfrierung von Satoshis 1,1 Millionen Bitcoin angesichts wachsender Quantenbedrohungvor 2 Stunden
-
4Warum die Diskrepanz zwischen Bitcoin und den Aktien auf Rekordhoch nicht von Dauer sein wirdvor 4 Stunden
-
5Die Käufer von Trumps Krypto-Token verzeichnen laut Blockchain-Daten einen Verlust von 3,8 Milliarden US-Dollarvor 5 Stunden
-
6Europa führte bei der Regulierung von Kryptowährungen. Jetzt muss die Umsetzung der Ambition entsprechenvor 6 Stunden
-
7Die EU ergreift Maßnahmen, um Privatanleger vom explosiven Boom der multibillionenschweren Prognosemärkte auszuschließenvor 6 Stunden
-
8Die kühnen neuen Kryptovorschriften Großbritanniens versprechen, den globalen Handel zu entfesseln, doch erhebliche Compliance-Hürden drohen weiterhin die Einführung zu gefährdenvor 8 Stunden
-
9XRP steigt um 8 %, da Verluste bei Rekordinhabern ein besseres Chancen-Risiko-Verhältnis für Käufer signalisierenvor 13 Stunden
-
10Die nächste parabolische Aufwärtsbewegung von Bitcoin könnte 1 Billion US-Dollar an frischem Kapital erfordernvor 13 Stunden

Building the Zcash Machine: Tachyon and Quantum Readiness

Building the Zcash Machine: Tachyon and Quantum Readiness
Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.
Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.
Warum es wichtig ist:
Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.

Live-Updates: Bitcoin steigt über 62.000 $ hinaus, während der heiß gelaufene Halbleiter-Handel nachlässt

Live-Aktualisierungen: Bitcoin hält sich über 61.000 USD, während Momentum-Aktien zum Quartalsbeginn stark fallen
