Сервер стоимостью 3000 долларов и несколько дней работы едва не поставили под угрозу блокчейн с капитализацией 70 миллиардов долларов. Эта история стала публичной 4 июля 2026 года и касается куда большего, чем один отдельный проект.
Хорошая новость: ни один доллар пользователей не пострадал. Плохая: насколько мало для этого потребовалось бы.
Что произошло
Получается, что компания по кибербезопасности Hexens, которую возглавляет сооснователь и технический директор Вахе Карапетян, обнаружила критическую уязвимость в Move VM компании Aptos, виртуальной машине, исполняющей каждый смарт-контракт сети. Речь идёт о так называемом stale-cache bug, вызывающем путаницу типов: система могла быть обманута и начать обрабатывать один ресурс on-chain как совершенно иной.
Опасность кроется в последствиях. В языке Move привилегии протокола, такие как право чеканить стейблкоин, управлять мостом или администрировать кредитный рынок, хранятся как on-chain ресурсы. Манипуляция ими означает захват этих полномочий. Уязвимость была сообщена 25 февраля через программу bug bounty, исправлена за несколько часов и раскрыта публично лишь 4 июля. В ходе тестов атака успешно воспроизводилась более чем в 90% случаев при затратах около 3000 долларов и без каких-либо привилегированных доступов.
Почему это важно: что могло произойти
Риск касался не токенов в кошельках, а инфраструктуры, соединяющей сети между собой. Компания Grego AI, независимо верифицировавшая концепт-доказательство, оценила непосредственную угрозу примерно в 250 миллионов долларов только в сети Aptos. Однако через мосты и кросс-чейн системы, такие как LayerZero, Wormhole и протокол USDC, оценка системного риска первого порядка возрастала до 70 миллиардов долларов.
Это ключевое наблюдение для каждого участника рынка: компрометация одного блокчейна редко ограничивается только им. Стоимость, доступная через мосты к другим сетям, превращает локальную проблему в потенциальный кризис всей отрасли.
Асимметрия, над которой стоит задуматься
Источник: Hexens, Grego AI, CoinDesk, июль 2026
- Стоимость смоделированной атаки: около 3000 $
- Максимальный размер bug bounty Aptos: 1 миллион $
- Оценочный системный риск: до 70 миллиардов $
Этот дисбаланс объясняет, почему безопасность всей отрасли зависит от этичного выбора нескольких исследователей.
Миф о «безопасности по дизайну»
Здесь есть горькая ирония. Язык Move возник из проекта Diem компании Meta именно с безопасностью в качестве основополагающего принципа: привилегии хранятся как ресурсы, чтобы их было сложнее подделать. И тем не менее в самом движке исполнения обнаружилась критическая уязвимость.
Вывод для разработчиков однозначен: дыра на уровне VM находится ниже безопасности отдельных приложений. Можно написать идеально проверенный смарт-контракт, но если базовый уровень, исполняющий его, уязвим, эта тщательность не спасёт. Никакая архитектура, сколь угодно современная, не является иммунной.
Неудобный урок: экономика безопасности сломана
Но самое глубокое наблюдение носит экономический характер. Поверхность риска в десятки миллиардов долларов охранялась программой bug bounty с максимальной выплатой в один миллион долларов. Исследователь, который мог продать эту уязвимость на чёрном рынке за значительно большую сумму, предпочёл отправить письмо, а не опустошить кошельки. Значительная часть безопасности этой отрасли держится сегодня именно на таком выборе.
Aptos оспаривает практическую серьёзность ситуации, называя реальную эксплуатацию «крайне маловероятной». Однако технический директор Polygon Мудит Гупта самостоятельно воспроизвёл эксплойт и подтвердил, что он работал. Когда даже быстрая и хорошо финансируемая сеть оказывается настолько хрупкой, нарратив о «неуязвимом» блокчейне следует списать в архив. Критерии оценки меняются: вместо того чтобы хвалиться количеством транзакций в секунду, нужно задавать другой вопрос: как быстро сеть способна остановить себя сама, с автоматическими предохранителями, замораживающими переводы в момент, когда что-то идёт не так.
То, что средства не пострадали, заслуживает признания. Но причина этого, программа bug bounty и быстрый патч, а не счастливое стечение обстоятельств в момент атаки. В следующий раз, когда какая-либо сеть назовёт себя неуязвимой, стоит вспомнить, насколько тонкой была граница, и смотреть не только на приложение, но и на безопасность базового уровня и на стимулы, которые его поддерживают. Подробности можно проверить на официальных сайтах Aptos Foundation и Hexens.
