Lỗ hổng nghiêm trọng của Aptos

Aptos đã vá một lỗ hổng nghiêm trọng trong máy ảo Move của mình mà các nhà nghiên cứu bảo mật ước tính có thể bị khai thác với chi phí chỉ vài trăm đô la, đặt ra những câu hỏi nghiêm trọng về tỷ lệ chi phí so với tác động của các cuộc tấn công vào các mạng blockchain lớn.

Aptos Fixes Critical Vulnerability as Attack Cost Was Estimated at a Few Hundred DollarsLỗ hổng này được xác định bởi các hacker có đạo đức và được tiết lộ thông qua một quy trình bảo mật có trách nhiệm. Theo một bài viết chi tiết được công bố bởi công ty bảo mật Hexens, lỗ hổng nằm trong MoveVM, công cụ thực thi làm nền tảng cho việc xử lý hợp đồng thông minh trên blockchain Aptos. Để có tin tức liên quan, hãy xem Aptos Bounces from Key Support: Is a Surge Towards $14 Level Incoming.

Riêng biệt, CoinDesk đưa tin rằng các hacker có đạo đức sử dụng một máy chủ có giá khoảng 3.000 đô la đã phát hiện ra một lỗ hổng có thể gây nguy hiểm cho hàng tỷ đô la tài sản tiền điện tử. Chi phí cơ sở hạ tầng thấp cần thiết để xác định và có khả năng kích hoạt khai thác cho thấy vectơ tấn công dễ tiếp cận như thế nào. Để có tin tức liên quan, hãy xem Six Addresses Buy 12,128 ETH and Transfer It to Tornado Cash.

Tại sao chi phí tấn công thấp làm thay đổi cách tính rủi ro

Trong bảo mật blockchain, chi phí thực hiện một cuộc tấn công quan trọng không kém mức độ nghiêm trọng về mặt kỹ thuật. Một lỗ hổng nghiêm trọng cần hàng triệu đô la vốn hoặc phần cứng chuyên dụng để khai thác có hồ sơ mối đe dọa khác với một lỗ hổng có thể thực hiện chỉ với vài trăm đô la.

Khi rào cản khai thác giảm xuống thấp như vậy, nhóm những kẻ tấn công tiềm năng mở rộng đáng kể. Bất kỳ đối thủ nào có kỹ năng trung bình với nguồn lực tối thiểu đều có thể thử tấn công, làm cho khoảng thời gian giữa phát hiện và vá lỗi trở nên đặc biệt nguy hiểm.

Động lực này cũng làm tăng nguy cơ hành vi sao chép. Một khi kiến thức về một cuộc khai thác chi phí thấp lan rộng, cấu trúc khuyến khích chuyển dịch mạnh mẽ sang khai thác nhanh chóng thay vì tiết lộ có trách nhiệm. Khả năng vá lỗi của nhóm Aptos trước khi bất kỳ khai thác nào được xác nhận là kết quả quan trọng ở đây.

Cách Aptos phản ứng với lỗ hổng MoveVM

Aptos xác nhận rằng lỗ hổng đã được sửa trước khi bất kỳ khoản tiền nào bị mất hoặc mạng bị xâm phạm. Trang bảo mật của Aptos phác thảo cách tiếp cận của mạng đối với quản lý lỗ hổng, bao gồm chương trình tiền thưởng lỗi được thiết kế để khuyến khích tiết lộ có trách nhiệm.

Việc bản vá được triển khai chủ động, trước khi khai thác, đặt vấn đề này như một câu chuyện thành công về bảo mật thay vì một vụ vi phạm. Đối với người dùng nắm giữ tài sản trên Aptos trong thời gian có lỗ hổng, không có hành động nào cần thiết ngoài các biện pháp vệ sinh bảo mật tiêu chuẩn.

Sự cố này diễn ra sau một thời gian thay đổi quản trị tích cực trên Aptos. Mạng gần đây đã trải qua một quy trình quản trị nơi Aptos đề xuất giới hạn 2,1B và điều chỉnh gas gấp 10 lần, và riêng biệt đã giảm tỷ lệ phần thưởng staking xuống 2,6% trong khi tăng phí gas. Những thay đổi cấu trúc này làm cho tính toàn vẹn của VM cơ bản trở nên quan trọng hơn.

Điều này có nghĩa gì đối với người dùng, nhà phát triển và validator của Aptos

Đối với các validator vận hành node Aptos, sự cố này nhấn mạnh tầm quan trọng của việc cập nhật phần mềm nhanh chóng. Một lỗ hổng trong MoveVM về mặt lý thuyết có thể ảnh hưởng đến đồng thuận, xử lý giao dịch hoặc tính toàn vẹn trạng thái, tất cả đều là trách nhiệm trực tiếp của validator.

Các nhà phát triển triển khai hợp đồng thông minh trên Aptos nên lưu ý rằng các lỗ hổng cấp VM có thể ảnh hưởng đến các ứng dụng bất kể các hợp đồng riêng lẻ được viết tốt như thế nào. Một lỗ hổng trong lớp thực thi nằm dưới các biện pháp bảo mật cấp ứng dụng.

Hệ sinh thái Aptos rộng lớn hơn, đã chứng kiến hoạt động mở rộng bao gồm kế hoạch ra mắt stablecoin KRW1 Hàn Quốc, phụ thuộc vào niềm tin vào tình hình bảo mật của mạng. Việc vá lỗi nhanh chóng, minh bạch giúp duy trì niềm tin đó, nhưng sự tồn tại của một lỗ hổng nghiêm trọng chi phí thấp như vậy có thể sẽ dẫn đến việc xem xét kỹ lưỡng hơn các thực hành kiểm toán MoveVM trong tương lai.

Đối với thị trường tiền điện tử rộng lớn hơn, sự cố này như một lời nhắc nhở rằng ngay cả các kiến trúc blockchain mới hơn được xây dựng bằng ngôn ngữ lập trình tập trung vào bảo mật như Move cũng không miễn nhiễm với các lỗ hổng nghiêm trọng. Sự khác biệt giữa một vụ khai thác thảm khốc và một câu chuyện thành công về bảo mật thường phụ thuộc vào việc liệu các nhà nghiên cứu có đạo đức có tìm ra lỗ hổng trước hay không.

FAQ: Các câu hỏi chính về lỗ hổng Aptos

Lỗ hổng Aptos có bị khai thác trước khi sửa không?

Không có khai thác nào được xác nhận. Lỗ hổng được phát hiện bởi các nhà nghiên cứu bảo mật có đạo đức và được nhóm Aptos vá trước khi có bất kỳ sử dụng độc hại nào được báo cáo.

Tại sao chi phí tấn công ước tính lại quan trọng?

Chi phí tấn công thấp, ước tính chỉ vài trăm đô la, có nghĩa là khai thác này có thể tiếp cận kinh tế đối với nhiều đối thủ tiềm năng, không chỉ những kẻ tấn công có kinh phí tốt. Điều này làm tăng đáng kể rủi ro thực tế ngoài những gì mức độ nghiêm trọng kỹ thuật đơn thuần gợi ý.

Người dùng Aptos có cần thực hiện hành động gì không?

Không cần hành động ngay lập tức từ người dùng. Bản vá đã được áp dụng ở cấp độ mạng. Người dùng nên đảm bảo họ tương tác với cơ sở hạ tầng cập nhật và tuân theo các thực hành bảo mật tiêu chuẩn.

Lỗ hổng nằm ở đâu?

Lỗ hổng nằm trong MoveVM, máy ảo thực thi hợp đồng thông minh trên Aptos. Đây là một thành phần cơ sở hạ tầng cốt lõi, có nghĩa là lỗ hổng có thể ảnh hưởng đến toàn bộ mạng thay vì một ứng dụng đơn lẻ.

Tuyên bố miễn trách nhiệm: Bài viết này chỉ dành cho mục đích thông tin và không cấu thành lời khuyên tài chính hoặc đầu tư. Thị trường tiền điện tử và tài sản kỹ thuật số mang rủi ro đáng kể. Luôn tự nghiên cứu trước khi đưa ra quyết định.

APT-3,06%
ETH0,23%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim