Forscher haben Details über einen jetzt gepatchten kritischen Fehler in der virtuellen Maschine Move offengelegt, die das Aptos-Blockchain-Netzwerk antreibt.
Die Schwachstelle „kann zum Absturz von Aptos-Knoten und zu Denial-of-Service führen“, sagte das in Singapur ansässige Unternehmen Numen Cyber Labs in einem Anfang dieses Monats veröffentlichten technischen Bericht.
Aptos ist ein Neuzugang im Blockchain-Bereich, der sein Mainnet am 17. Oktober 2022 startete. Es hat seine Wurzeln im von Meta (geb. Facebook) vorgeschlagenen Stablecoin-Zahlungssystem Diem, das auch eine kurzlebige digitale Geldbörse namens Novi einführte.
Das Netzwerk wird mit einer plattformunabhängigen Programmiersprache namens Move aufgebaut, einem auf Rust basierenden System, das darauf ausgelegt ist, Smart Contracts in einer sicheren Laufzeitumgebung zu implementieren und auszuführen, die auch als Move Virtual Machine (alias MoveVM) bekannt ist.
Die von Numen Cyber Labs identifizierte Schwachstelle wurzelt im Verifizierungsmodul der Move-Sprache („stack_usage_verifier.rs“), einer Komponente, die die Bytecode-Anweisungen vor ihrer Ausführung in MoveVM validiert.
Konkret geht es um eine Integer-Overflow-Schwachstelle in der Stack-basierten Programmiersprache Web3, die zu undefiniertem Verhalten und damit zu Abstürzen führen kann.
„Da diese Schwachstelle im Move-Ausführungsmodul auftritt, verursacht sie für Knoten in der Kette, wenn der Bytecode-Code ausgeführt wird, eine [Denial-of-Service] Angriff”, erklärte die Cybersicherheitsfirma.
„In schweren Fällen kann das Aptos-Netzwerk komplett gestoppt werden, was unkalkulierbaren Schaden anrichten und die Stabilität des Knotens gravierend beeinträchtigen wird.“