Découverte d'une faille critique dans le réseau blockchain d'Aptos
Des chercheurs du Numen Cyber Labs, basé à Singapour, ont découvert et partagé les détails d'une vulnérabilité dans la machine virtuelle Move chargée d'alimenter le réseau blockchain Aptos.
Aptos, l'un des réseaux blockchain les plus récents, a lancé son mainnet le 17 octobre 2022, qui trouve ses racines dans le système de paiement en stablecoin Diem proposé par Meta.
Le réseau Aptos est basé sur un langage de programmation agnostique de plateforme appelé Move. Move est un système basé sur Rust, spécifiquement conçu pour mettre en œuvre et exécuter des contrats intelligents dans un environnement d'exécution sécurisé, également connu sous le nom de Move Virtual Machine (aka MoveVM). La vulnérabilité de la Move Virtual Machine d'Aptos pourrait provoquer le crash des nœuds d'Aptos et un déni de service.
La faille est comparée à une vulnérabilité de débordement d'entier dans le langage de programmation Web3 basé sur la pile, qui provoque également des plantages du système. Dans le cas de la faille Move, Numen Cyber Labs a montré qu'elle trouve son origine dans le module de vérification du langage Move ("stack_usage_verifier.rs"), un composant chargé de valider les instructions du bytecode avant de les exécuter dans MoveVM.
"Comme cette vulnérabilité se produit dans le module d'exécution Move, pour les nœuds de la chaîne, si le code bytecode est exécuté, cela provoquera une attaque [Denial-of-Service]. Dans les cas graves, le réseau Aptos peut être complètement arrêté, ce qui causera des dommages incalculables et aura un impact sérieux sur la stabilité du nœud", explique Numen Cyber Labs.
Aptos a été fondée par Mo Shaikh, ancien employé de Meta, en tant que PDG d'Aptos, et Avery Ching, en tant que directeur technique, afin de résoudre les problèmes auxquels les systèmes décentralisés sont actuellement confrontés. Aptos tente d'optimiser les solutions existantes et d'introduire des solutions révolutionnaires. Le résultat final souhaité est un réseau blockchain évolutif, décentralisé, sécurisé et super bon marché, sans centre-ville.
Il prétend offrir un système évolutif qui propose une approche axée sur la vitesse et qui gère la transmission des transactions, l'ordonnancement des blocs de données et le stockage des données en parallèle pour gagner du temps.
La valeur du réseau blockchain réside dans le fait qu'il propose des contrats intelligents à l'aide d'un système de détection qui repère les vulnérabilités et avertit les utilisateurs des contrats intelligents malveillants et insuffisants.
Les sources de cet article comprennent un article de TheHackerNews.