白帽黑客用3000美元服务器发现700亿美元漏洞——什么是“负责任披露”
安全研究人员称,他们在Aptos区块链中发现了一个漏洞。若不是它在2月被悄悄修复,这个漏洞本可能让多达700亿美元的加密资产面临风险,波及稳定币、跨链桥和交易所。令人不安的是:团队模拟这场攻击只花了约3000美元,而且无需任何内部权限。所幸…
安全研究人员称,他们在Aptos区块链中发现了一个漏洞。若不是它在2月被悄悄修复,这个漏洞本可能让多达700亿美元的加密资产面临风险,波及稳定币、跨链桥和交易所。令人不安的是:团队模拟这场攻击只花了约3000美元,而且无需任何内部权限。所幸没有用户资金损失。
该漏洞由区块链安全公司Hexens于2月25日通过Aptos的漏洞赏金计划上报。他们将其描述为一个“陈旧缓存”(stale-cache)问题,进而引发“类型混淆”漏洞——通俗地说,就是可以欺骗链把一种链上对象当作另一种来处理。在Aptos所使用的Move编程语言里,这可能意味着夺取诸如铸造稳定币、控制跨链桥这类强大权限。Aptos表示,已在数小时内开发、测试并部署了修复方案,并于2月27日公开了补丁。
让人后怕的是,这种攻击看起来既便宜又可重复。研究人员用一套约3000美元的服务器,模拟了Aptos约三分之一的验证节点网络,把漏洞利用运行了大约20次,其中17到18次成功——在贴近真实网络的条件下,成功率接近90%。包括Polygon首席技术官和一家名为Grego AI的公司在内的独立评审都表示,这个概念验证站得住脚。Grego AI估计,Aptos自身约有2.5亿美元资产直接暴露在风险中;而更大的700亿美元数字,则来自攻击者可通过Circle的USDC、跨链消息协议等相连系统所能触及的范围。
Aptos对该漏洞在实际中的危险程度提出异议,向CoinDesk表示其“分析认定,该漏洞在真实环境下被利用的可能性极低”。这一分歧值得注意,但这次险情仍发生在一连串真实灾难的背景之下:去年Bybit被盗15亿美元,以及Zcash在6月披露的一个漏洞——它悄悄潜伏了四年、本可用于伪造代币,并令其代币下跌38%。
对新手而言,真正有用的不是那个吓人的数字,而是问题被处理的方式。这正是“负责任披露”按设计发挥作用:白帽研究人员私下上报漏洞,一个名为SEAL911的志愿应急小组协调应对,漏洞在细节公开或有人损失资金之前就被堵上。你无法自己去审计一条区块链,而那些“面临风险”的天文数字,通常是最坏情况的估算,并非实际损失。你能留意的,是一个项目是否设有真正的漏洞赏金计划、是否修复得够快——比起任何“绝不会被黑”的承诺,这才是能扛过必然出现之漏洞的链,与其他链的区别。