de
Zurück zur Liste

Wie ethische Hacker mit nur einem 3.000-Dollar-Server eine Schwachstelle entdeckten, die 70 Milliarden Dollar in Krypto gefährdet hätte

source-logo  coindesk.com 2 S
image

Ein Server im Wert von 3.000 US-Dollar reichte einem Blockchain-Sicherheitsexperten aus, um einen Angriffsweg zu simulieren, der seiner Aussage zufolge Kryptowährungsinfrastrukturen im Wert von bis zu 70 Milliarden US-Dollar gefährden könnte.

Im Mittelpunkt der Offenlegung stand eine Schwachstelle bei Aptos, einer Layer-1-Blockchain, die auf Move basiert, dem Smart-Contract-Sprache, die von Aptos und Sui verwendet wird und aus dem eingestellten Diem-Projekt von Facebook hervorgeht.

Ende Februar meldeten Forscher des Blockchain-Sicherheitsunternehmens Hexens dem Entwicklungsteam des Projekts eine kritische Schwachstelle in der Aptos Move Virtual Machine, der Ausführungsumgebung, die Smart Contracts auf der Chain verarbeitet. Hexens identifizierte einen sogenannten „Stale-Cache-Bug“, der zu einer Type-Confusion-Sicherheitslücke führt, eine Situation, in der Software dazu gebracht werden kann, eine Art von Onchain-Ressource fälschlicherweise als eine andere zu behandeln. Der

Das Aptos-Team hat die Sicherheitslücke behoben, sobald sie erkannt wurde, und es wurden keine Gelder verloren.

„Aptos Labs wurde am 25. Februar über unser Bug-Bounty-Programm auf ein potenzielles Problem aufmerksam gemacht, das zu diesem Zeitpunkt bereits intern geprüft wurde“, teilte ein Sprecher von Aptos CoinDesk mit. „Ein Fix wurde entwickelt, getestet und innerhalb von Stunden nach der Entdeckung im Mainnet eingesetzt. Zu keinem Zeitpunkt waren Nutzer oder Gelder betroffen.“

Der Aptos-Sprecher widersprach gegenüber CoinDesk zudem der praktischen Ausnutzbarkeit des Fehlers. „Unsere Analyse ergab, dass die Ausnutzbarkeit des Fehlers unter realen Bedingungen äußerst gering wäre.“

Die Einzelheiten dessen, was die Forscher herausgefunden haben, bieten jedoch einen ernüchternden Einblick, wie nahe das Ökosystem einem potenziell die Branche verändernden Ereignis gekommen ist.

Die Sensitivität dieser Fehlerklasse beruht darauf, wie die Programmiersprache Move Autorität handhabt. Protokollberechtigungen in Move, einschließlich des Rechts, einen Stablecoin zu prägen, eine Brücke zu steuern oder einen Kreditmarkt zu verwalten, werden häufig direkt als On-Chain-Ressourcen gespeichert. Wenn diese Ressourcen kompromittiert werden, beschränkt sich der Schaden nicht auf ein einzelnes Protokoll. Er erstreckt sich auf alles, was ihnen vertraut.

Die Forscher von Hexens boten eine praktische Analogie zu dem Fehler an: Er ist ungefähr vergleichbar mit einem Fehler in einer Ethereum-ähnlichen Blockchain, der es angriffskontrolliertem Code ermöglichen würde, in den Speicher anderer Verträge zu schreiben und dabei die Typsystemgarantien zu umgehen, die Move speziell gewährleisten soll.

Mudit Gupta, CTO von Polygon, hat die Proof-of-Concept-Unterlagen unabhängig überprüft und bestätigt, dass der Exploit funktionierte. „Er lief wie angegeben, und der Exploit ergab Sinn“, sagte er gegenüber CoinDesk. „Es mussten einige Bedingungen erfüllt sein, was auf dem Mainnet offenbar der Fall war.“

Unterdessen berechnete Grego AI, das unabhängig den Machbarkeitsnachweis von Hexens überprüfte, dass basierend auf der nahezu 90%igen Erfolgsquote etwa 250 Millionen US-Dollar an Aptos-native TVL direkt gefährdet waren, unabhängig von der weiter gefassten Cross-Chain-Exponierung.

Der Anbieter wurde Stunden nach der Eröffnung des War Rooms informiert, und am Nachmittag desselben Tages wurden vier bedeutende nachgelagerte Projekte alarmiert, die jeweils lokal ausführbares Proof-of-Concept-Material sowie eine Analyse relevanter Autoritätsmuster erhielten.

Ein öffentlicher Pull Request, der den Patch widerspiegelt, wurde am 27. Februar verfügbar gemacht. Aptos erklärte, dass ein Patch für den privaten Validator vor dem öffentlichen Commit bereitgestellt worden war.

Hexens hingegen erklärt, dass es keine technische Widerlegung oder argumentativ fundierte Gegenbeweise bezüglich der nachgewiesenen Wirkungsklassen erhalten hat. Das Unternehmen gibt an, dass die Hauptbedenken, die an die beteiligten Forscher zurückgemeldet wurden, die probabilistischen Aspekte des Exploits betrafen – genau jene, die durch die Kalibrierungsarbeit des Teams adressiert werden sollten.

Obwohl keine Gelder gestohlen wurden, zeigte die Simulation, dass bei einer Kompromittierung auf Blockchain-Ebene Limitierungen der Transaktionsrate, Einfrierungen durch den Emittenten, Brückenkontrollen, Überwachung von Börsen und Validatoren-Patches keine sekundären Schutzmaßnahmen sind. Sie können die Grenze zwischen einem eingedämmten Fehler und einem markenweiten Exploit bilden.

HackExclusive
Latest Crypto News
  1. 1
    Der nächste Anwendungsfall der Tokenisierung sind personalisierte Portfolios, sagt ein NYLIM-Manager
    vor 46 Minuten
  2. 2
    Bitcoin steigt über 63.000 US-Dollar und kehrt Verluste vom Ende Juni um
    vor 2 Stunden
  3. 3
    Bitcoin-Experten uneins über Plan zur Einfrierung von Satoshis 1,1 Millionen Bitcoin angesichts wachsender Quantenbedrohung
    vor 2 Stunden
  4. 4
    Warum die Diskrepanz zwischen Bitcoin und den Aktien auf Rekordhoch nicht von Dauer sein wird
    vor 4 Stunden
  5. 5
    Die Käufer von Trumps Krypto-Token verzeichnen laut Blockchain-Daten einen Verlust von 3,8 Milliarden US-Dollar
    vor 5 Stunden
  6. 6
    Europa führte bei der Regulierung von Kryptowährungen. Jetzt muss die Umsetzung der Ambition entsprechen
    vor 6 Stunden
  7. 7
    Die EU ergreift Maßnahmen, um Privatanleger vom explosiven Boom der multibillionenschweren Prognosemärkte auszuschließen
    vor 6 Stunden
  8. 8
    Die kühnen neuen Kryptovorschriften Großbritanniens versprechen, den globalen Handel zu entfesseln, doch erhebliche Compliance-Hürden drohen weiterhin die Einführung zu gefährden
    vor 8 Stunden
  9. 9
    XRP steigt um 8 %, da Verluste bei Rekordinhabern ein besseres Chancen-Risiko-Verhältnis für Käufer signalisieren
    vor 13 Stunden
  10. 10
    Die nächste parabolische Aufwärtsbewegung von Bitcoin könnte 1 Billion US-Dollar an frischem Kapital erfordern
    vor 13 Stunden
Latest Research

Building the Zcash Machine: Tachyon and Quantum Readiness

Building the Zcash Machine: Tachyon and Quantum Readiness

Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.

Von CoinDesk Research
30. Juni 2026
Commissioned byGenZcash

Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.

Warum es wichtig ist:

Zcash’s Tachyon upgrade aims to scale shielded payments, improve quantum readiness, and test whether its funding, security, and governance can hold.

View Full Report
More From Tech

Live-Updates: Bitcoin steigt über 62.000 $ hinaus, während der heiß gelaufene Halbleiter-Handel nachlässt

Live-Aktualisierungen: Bitcoin hält sich über 61.000 USD, während Momentum-Aktien zum Quartalsbeginn stark fallen

Der institutionelle Start von Ethereum erhält Unterstützung aus dem gesamten Ethereum-Ökosystem

coindesk.com