Hexens entdeckt eine Typverwechslungs-Schwachstelle in Aptos, Angriffserfolgsrate liegt bei fast 90 %.

APT0,55%
USDC0,01%

Der CTO des Sicherheitsunternehmens Hexens, Vahe Karapetyan, entdeckte am 5. Juli im Move Virtual Machine der Aptos-Blockchain eine Stale-Cache-Schwachstelle, die zu Type Confusion führt; diese Schwachstelle kann die Software dazu verleiten, die Typsicherheitsgarantien der Move-Sprache zu umgehen. Hexens errichtete eine Simulationsumgebung mit einem Server im Wert von rund 3.000 US-Dollar und erreichte bei 20 Tests eine Angriffserfolgsrate von nahezu 90%.

3.000 US-Dollar Server, 20 Simulationen, 17-18 erfolgreich, Angriffserfolgsrate nahezu 90%

Laut Hexens‘ technischem Bericht baute das Team von Karapetyan zur Überprüfung der Machbarkeit der Schwachstelle eine Simulationsumgebung auf, die nahe an die Größe des Hauptnetzes herankam: über 30 Validatorknoten, eine dem Hauptnetz nahe Staking-Verteilung, echter Transaktionsverkehr und intensive Ausführungskonkurrenz, mit Aufbaukosten von rund 3.000 US-Dollar; ein realer Angriff wäre sogar noch günstiger und würde keine Validator-Berechtigungen, internes Wissen oder privilegierten Zugriff erfordern.

Hexens testete etwa 20 Mal in der simulierten Umgebung, mit 17-18 Erfolgen, die Erfolgsrate nahe 90%; selbst wenn es gelegentlich 2-3 Fehlschläge gab, würde das Netzwerk nicht zum Stillstand kommen, und der Angreifer konnte geduldig auf das nächste Zeitfenster warten.

SEAL911 greift ein, Patch innerhalb von Stunden fertiggestellt und Downstream-Projekte benachrichtigt

Laut offiziellen Angaben von Aptos und Berichten von CoinDesk meldete Hexens die Schwachstelle am 25. Februar 2026 über das Aptos Bug-Bounty-Programm; Aptos erklärte, dass das Team zum Zeitpunkt der Meldung bereits intern an dem Problem arbeite. Das freiwillige Notfallteam der Kryptobranche, SEAL911, richtete noch am selben Tag einen Einsatzraum ein; am Nachmittag desselben Tages benachrichtigte Aptos die betroffenen Anbieter und 4 wichtige Downstream-Projekte und fügte einen lokal ausführbaren Proof-of-Concept (PoC) bei.

Aptos teilte CoinDesk mit: „Der Patch wurde innerhalb von Stunden nach der Entdeckung entwickelt, getestet und im Hauptnetz bereitgestellt, während des gesamten Prozesses wurden keine Benutzer oder Gelder beeinträchtigt.“ Der öffentliche Patch-Pull-Request wurde am 27. Februar eingereicht, aber private Validatoren hatten den Patch bereits vor dem öffentlichen Commit bereitgestellt.

Polygon CTO Mudit Gupta und Grego AI bestätigen Wirksamkeit des PoC unabhängig

Laut CoinDesk-Berichten gab es eine deutliche Diskrepanz zwischen den Bewertungen von Aptos und Hexens: Aptos erklärte, dass die Analyse ergebe, dass die Schwachstelle unter realen Bedingungen nur sehr schwer ausnutzbar sei, während Hexens entgegnete, bisher keine evidenzbasierte technische Widerlegung erhalten zu haben.

Polygon CTO Mudit Gupta sagte nach unabhängiger Prüfung des PoC: „Er funktioniert wie behauptet, die Schwachstelle ist plausibel … Es müssen einige Bedingungen erfüllt sein, aber es scheint, dass sie diese im Hauptnetz tatsächlich erreicht haben.“

Nach der unabhängigen Verifizierung des PoC durch Grego AI erklärte CEO Justus Hanna unverblümt: „Wenn ein böswilliger Akteur diese Schwachstelle in die Hände bekäme, könnte er jede beliebige TVL (Total Value Locked) nehmen, die er möchte.“

Risikobewertung: Direktes Risiko des nativen TVL von Aptos bei etwa 250 Millionen US-Dollar

Laut den Bewertungen von Hexens und Grego AI lässt sich das Risiko dieser Schwachstelle in zwei Ebenen unterteilen:

  • Direktes Risiko des nativen TVL von Aptos (Grego AI-Bewertung): Basierend auf der nahezu 90%igen Angriffserfolgsrate ist ein nativer TVL von Aptos im Wert von etwa 250 Millionen US-Dollar direkt bedroht, ohne Cross-Chain-Exposition.
  • Systemisches Risiko (Hexens-Bewertung): Bis zu 70 Milliarden US-Dollar, einschließlich Cross-Chain-Brücken, Cross-Chain-Nachrichtensysteme, Verwaltungsprozesse für Stablecoin-Emissionen und über zentralisierte Börsen zugängliche Vermögenswerte; diese Zahl setzt voraus, dass der Angreifer massiv USDC erzeugt und über Circles Cross-Chain-Transferprotokoll (CCTP) auf andere Chains verschiebt.
  • Einschränkungen von Circle: Circle erklärte, dass es ohne rechtliche Genehmigung keine Vermögenswerte einfrieren würde, was bedeutet, dass die Wahrscheinlichkeit, dass das gesamte Risiko von 70 Milliarden US-Dollar realisiert wird, begrenzt ist, wenn alle Parteien rechtzeitig eingreifen.
  • Risiko der Vertrauenskettendiffusion: Kritische Protokollberechtigungen in der Move-Sprache (Prägung von Stablecoins, Kontrolle von Cross-Chain-Brücken, Verwaltung von Kreditmärkten) werden als „On-Chain-Ressourcen“ gespeichert. Sobald sie kompromittiert sind, breitet sich der Schaden entlang der Vertrauenskette auf alle abhängigen Systeme aus.

Bei realen Tests übernahm Hexens vorübergehend eine Rolle ähnlich dem „Master Minter“, handelte über legitime Verwaltungspfade und hielt vor der tatsächlichen Münzprägung inne. Dies reichte jedoch aus, um zu beweisen, dass solche Rollen in ein vollständiges Bedrohungsmodell aufgenommen werden müssen.

Häufig gestellte Fragen

Was ist die Schwachstelle im Aptos Move VM und wie funktioniert sie?

Laut Hexens‘ technischem Bericht handelt es sich um einen „Stale-Cache-Bug“, der zu „Type Confusion“ führt; die Software wird dazu verleitet, eine On-Chain-Ressource fälschlicherweise für eine andere zu halten, wodurch die Typsicherheitsgarantien der Move-Sprache umgangen werden. Dies ist gleichbedeutend damit, dass Code, der vom Angreifer kontrolliert wird, direkt in den Speicher anderer Verträge schreiben kann.

Wurde diese Schwachstelle bereits behoben, und wie war der Patch-Zeitplan?

Laut offizieller Erklärung von Aptos wurde die Schwachstelle innerhalb von Stunden nach der Meldung am 25. Februar 2026 gepatcht, getestet und im Hauptnetz bereitgestellt, private Validatoren waren noch früher fertig; der öffentliche PR wurde am 27. Februar eingereicht; Aptos erklärte, dass während des gesamten Prozesses weder Benutzer noch Gelder betroffen waren.

Wie wurde das von Hexens geschätzte systemische Risiko von 70 Milliarden US-Dollar berechnet?

Laut Hexens‘ Bewertung umfassen die 70 Milliarden US-Dollar Cross-Chain-Brücken, Cross-Chain-Nachrichtensysteme, Stablecoin-Emissionen und über zentralisierte Börsen zugängliche Vermögenswerte; die Voraussetzung ist, dass der Angreifer massiv USDC erzeugt und über Circle CCTP auf andere Chains verschiebt. Circle erklärte, dass es ohne rechtliche Ermächtigung keine Vermögenswerte einfriert, sodass die Wahrscheinlichkeit einer vollständigen Realisierung des Risikos begrenzt ist, wenn alle Parteien rechtzeitig eingreifen.

Disclaimer: The information on this page may come from third-party sources and is for reference only. It does not represent the views or opinions of Gate and does not constitute any financial, investment, or legal advice. Virtual asset trading involves high risk. Please do not rely solely on the information on this page when making decisions. For details, see the Disclaimer.
Kommentieren
0/400
Keine Kommentare