Araştırmacılar, Aptos blok zinciri ağına güç sağlayan Move sanal makinesinde şimdi yamalı kritik bir kusurla ilgili ayrıntıları açıkladılar.
Singapur merkezli Numen Cyber Labs, bu ayın başlarında yayınlanan teknik bir yazıda, güvenlik açığı “Aptos düğümlerinin çökmesine ve hizmet reddine neden olabilir” dedi.
Aptos, ana ağını 17 Ekim 2022’de başlatan blok zinciri alanına yeni giren bir kişidir. Kökleri, Meta (née Facebook) tarafından önerilen ve aynı zamanda Novi adlı kısa ömürlü bir dijital cüzdanı da tanıtan Diem stabilcoin ödeme sisteminde bulunmaktadır.
Ağ, Move Virtual Machine (aka MoveVM) olarak da bilinen güvenli bir çalışma zamanı ortamında akıllı sözleşmeleri uygulamak ve yürütmek için tasarlanmış Rust tabanlı bir sistem olan Move olarak bilinen platformdan bağımsız bir programlama dili kullanılarak oluşturulmuştur.
Numen Cyber Labs tarafından tanımlanan güvenlik açığı, Move VM’de yürütülmeden önce bayt kodu talimatlarını doğrulayan Move dilinin doğrulama modülünde (“stack_usage_verifier.rs”) köklenir.
Spesifik olarak, yığın tabanlı Web3 programlama dilinde tanımsız davranışa ve dolayısıyla çökmelere neden olabilecek bir tamsayı taşması güvenlik açığıyla ilgilidir.
“Bu güvenlik açığı Move yürütme modülünde meydana geldiğinden, zincirdeki düğümler için, bayt kodu kodu yürütülürse, bir [Denial-of-Service] saldırı,” siber güvenlik firması açıkladı.
“Ağır durumlarda, Aptos ağı tamamen durdurulabilir, bu da hesaplanamaz hasara neden olur ve düğümün kararlılığı üzerinde ciddi bir etkisi olur.”