Các nhà nghiên cứu đã tiết lộ thông tin chi tiết về một lỗ hổng nghiêm trọng hiện đã được vá trong máy ảo Move hỗ trợ mạng blockchain Aptos.
Lỗ hổng bảo mật “có thể khiến các nút Aptos gặp sự cố và gây ra từ chối dịch vụ”, Numen Cyber Labs có trụ sở tại Singapore cho biết trong một bài viết kỹ thuật được công bố vào đầu tháng này.
Aptos là một công ty mới tham gia vào không gian blockchain, đã khởi chạy mạng chính của mình vào ngày 17 tháng 10 năm 2022. Nó có nguồn gốc từ hệ thống thanh toán Diem stablecoin do Meta (nhũ danh Facebook) đề xuất, cũng đã giới thiệu một ví tiền kỹ thuật số tồn tại trong thời gian ngắn gọi là Novi.
Mạng được xây dựng bằng ngôn ngữ lập trình bất khả tri nền tảng được gọi là Move, một hệ thống dựa trên Rust được thiết kế để triển khai và thực thi các hợp đồng thông minh trong môi trường thời gian chạy an toàn, còn được gọi là Move Virtual Machine (hay còn gọi là MoveVM).
Lỗ hổng được Numen Cyber Labs xác định được bắt nguồn từ mô-đun xác minh của ngôn ngữ Move (“stack_usage_verifier.rs”), một thành phần xác thực các hướng dẫn bytecode trước khi thực thi trong MoveVM.
Cụ thể, nó liên quan đến lỗ hổng tràn số nguyên trong ngôn ngữ lập trình Web3 dựa trên ngăn xếp có thể dẫn đến hành vi không xác định và do đó gây ra sự cố.
“Vì lỗ hổng này xảy ra trong mô-đun thực thi Di chuyển, đối với các nút trên chuỗi, nếu mã bytecode được thực thi, nó sẽ gây ra [Denial-of-Service] công ty an ninh mạng giải thích.
“Trong những trường hợp nghiêm trọng, mạng Aptos có thể bị ngừng hoạt động hoàn toàn, điều này sẽ gây ra những thiệt hại khôn lường, và ảnh hưởng nghiêm trọng đến sự ổn định của nút.”