Aptos, Saldırı Maliyetinin Birkaç Yüz Dolar Olarak Tahmin Edilen Kritik Bir Açığı Düzeltti
Aptos, güvenlik araştırmacılarının birkaç yüz dolara kadar düşük bir maliyetle istismar edilebileceğini tahmin ettiği Move sanal makinesindeki kritik bir güvenlik açığını yamaladı ve bu durum, büyük blok zinciri ağlarına yönelik saldırıların maliyet-etki oranı hakkında ciddi soruları gündeme getirdi.
Güvenlik açığı etik hackerlar tarafından tespit edildi ve sorumlu bir güvenlik süreciyle açıklandı. Güvenlik firması Hexens tarafından yayınlanan ayrıntılı bir makaleye göre , kusur Aptos blok zincirinde akıllı sözleşme işlemeyi destekleyen yürütme motoru MoveVM’de bulunuyordu.
Ayrı olarak, CoinDesk, yaklaşık 3.000 dolara mal olan bir sunucu kullanan etik hacker’ların, milyarlarca dolarlık kripto varlığını riske atabilecek bir güvenlik açığı keşfettiğini bildirdi. Bu açığı tespit etmek ve potansiyel olarak tetiklemek için gereken düşük altyapı maliyeti, saldırı vektörünün ne kadar erişilebilir olduğunu vurguluyor.
İçindekiler
Düşük saldırı maliyetinin risk değerlendirmesini neden değiştirdiği
Blockchain güvenliğinde, bir saldırıyı gerçekleştirmenin maliyeti, teknik ciddiyet kadar önemlidir. Milyonlarca dolarlık sermaye veya özel donanım gerektiren kritik bir güvenlik açığı, birkaç yüz dolara ulaşılabilen bir güvenlik açığından farklı bir tehdit profili sunar.
Saldırıya karşı direnç bu kadar düştüğünde, potansiyel saldırgan havuzu önemli ölçüde genişler. Minimum kaynaklara sahip, orta düzeyde yetenekli herhangi bir düşman saldırıyı deneyebilirdi; bu da keşif ile yama arasındaki zaman aralığını özellikle tehlikeli hale getirir.
Bu dinamik aynı zamanda taklitçi davranış riskini de artırıyor. Düşük maliyetli bir güvenlik açığının bilgisi yayıldığında, teşvik yapısı sorumlu açıklama yerine hızlı istismara doğru büyük ölçüde kayıyor. Aptos ekibinin, herhangi bir doğrulanmış istismar gerçekleşmeden önce sorunu yamalayabilme yeteneği burada kritik önem taşıyor.
Aptos MoveVM açığına nasıl yanıt verdi?
Aptos, herhangi bir fon kaybı yaşanmadan veya ağ tehlikeye girmeden önce güvenlik açığının giderildiğini doğruladı. Aptos güvenlik sayfası, sorumlu açıklamayı teşvik etmek için tasarlanmış hata ödül programı da dahil olmak üzere, ağın güvenlik açığı yönetimine yaklaşımını özetliyor.
Düzeltmenin, istismar gerçekleşmeden önce proaktif olarak uygulanması, bunu bir güvenlik ihlali yerine bir güvenlik başarı öyküsü haline getiriyor. Güvenlik açığı penceresi sırasında Aptos’ta varlık bulunduran kullanıcılar için, standart güvenlik önlemlerinin ötesinde herhangi bir işlem gerekli görünmüyor.
Bu olay, Aptos’ta aktif yönetim değişikliklerinin yaşandığı bir dönemin ardından gerçekleşti. Ağ yakın zamanda bir yönetim sürecinden geçti; bu süreçte Aptos, 2,1 milyar limit ve 10 kat gas ücreti ayarlaması önerdi ve ayrıca gas ücretlerini artırırken staking ödül oranını %2,6’ya düşürdü . Bu yapısal değişiklikler, altta yatan sanal makinenin bütünlüğünü daha da kritik hale getiriyor.
Bu durum Aptos kullanıcıları, geliştiricileri ve doğrulayıcıları için ne anlama geliyor?
Aptos düğümlerini işleten doğrulayıcılar için bu olay, hızlı yazılım güncellemelerinin önemini vurgulamaktadır. MoveVM’deki bir güvenlik açığı teorik olarak fikir birliğini, işlem işlemeyi veya durum bütünlüğünü etkileyebilir ve bunların tümünün sürdürülmesinden doğrulayıcılar doğrudan sorumludur.
Aptos üzerinde akıllı sözleşmeler dağıtan geliştiriciler, bireysel sözleşmelerin ne kadar iyi yazılmış olursa olsun, sanal makine düzeyindeki güvenlik açıklarının uygulamaları etkileyebileceğini unutmamalıdır. Yürütme katmanındaki bir kusur, uygulama düzeyindeki güvenlik önlemlerinin altında yer alır.
Planlanan 1 KRW Kore Wonu stablecoin’inin piyasaya sürülmesi de dahil olmak üzere genişleyen faaliyetlere tanık olan daha geniş Aptos ekosistemi, ağın güvenlik duruşuna olan güvene bağlıdır. Hızlı ve şeffaf yamalama, bu güvenin korunmasına yardımcı olur, ancak bu kadar düşük maliyetli kritik bir güvenlik açığının varlığı, MoveVM denetim uygulamalarının gelecekte daha yakından incelenmesine yol açacaktır.
Kripto para piyasasının genelinde bu olay, Move gibi güvenlik odaklı programlama dilleriyle oluşturulmuş daha yeni blok zinciri mimarilerinin bile kritik güvenlik açıklarına karşı bağışık olmadığını hatırlatıyor. Felaketle sonuçlanan bir güvenlik açığı ile başarılı bir güvenlik öyküsü arasındaki fark genellikle etik araştırmacıların güvenlik açığını ilk önce bulup bulmamasına bağlıdır.
