Các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng nghiêm trọng hiện đã được vá trong máy ảo Move cung cấp năng lượng cho mạng blockchain Aptos.
Lỗ hổng bảo mật "có thể khiến các nút Aptos gặp sự cố và gây ra từ chối dịch vụ", Numen Cyber Labs có trụ sở tại Singapore cho biết trong một bài viết kỹ thuật được công bố vào đầu tháng này.
Aptos là một công ty mới tham gia vào không gian blockchain, đã ra mắt mạng chính của mình vào ngày 17 tháng 10 năm 2022. Nó có nguồn gốc từ hệ thống thanh toán stablecoin Diem do Meta (nhũ danh Facebook) đề xuất, công ty cũng giới thiệu một ví kỹ thuật số tồn tại trong thời gian ngắn có tên Novi.
Mạng được xây dựng bằng ngôn ngữ lập trình bất khả tri về nền tảng được gọi là Move, một hệ thống dựa trên Rust được thiết kế để triển khai và thực thi các hợp đồng thông minh trong môi trường thời gian chạy an toàn, còn được gọi là Move Virtual Machine (hay còn gọi là MoveVM).
Lỗ hổng được xác định bởi Numen Cyber Labs bắt nguồn từ mô-đun xác minh của ngôn ngữ Move ("stack_usage_verifier.rs"), một thành phần xác thực các hướng dẫn bytecode trước khi thực thi trong MoveVM.
Cụ thể, nó liên quan đến một lỗ hổng tràn số nguyên trong ngôn ngữ lập trình Web3 dựa trên ngăn xếp có thể dẫn đến hành vi không xác định và do đó gặp sự cố.
"Vì lỗ hổng này xảy ra trong mô-đun thực thi Move, đối với các nút trên chuỗi, nếu mã bytecode được thực thi, nó sẽ gây ra một cuộc tấn công [Từ chối dịch vụ]", công ty an ninh mạng giải thích.
"Trong trường hợp nghiêm trọng, mạng Aptos có thể bị dừng hoàn toàn, điều này sẽ gây ra thiệt hại khôn lường, và có ảnh hưởng nghiêm trọng đến sự ổn định của nút."