Forscher haben Details über eine kritische Schwachstelle in der virtuellen Maschine Move, die das Aptos-Blockchain-Netzwerk betreibt, bekannt gegeben.
Die Schwachstelle „kann dazu führen, dass Aptos-Knoten abstürzen und einen Denial-of-Service verursachen“, so Numen Cyber Labs aus Singapur in einem technischen Bericht, der Anfang des Monats veröffentlicht wurde.
Aptos ist ein Neueinsteiger in der Blockchain-Branche, der sein Mainnet am 17. Oktober 2022 gestartet hat. Es hat seine Wurzeln im Stablecoin-Zahlungssystem Diem von Meta (geb. Facebook), das auch eine kurzlebige digitale Geldbörse namens Novi eingeführt hat.
Das Netzwerk basiert auf der plattformunabhängigen Programmiersprache Move, einem auf Rust basierenden System, das für die Implementierung und Ausführung von Smart Contracts in einer sicheren Laufzeitumgebung, auch bekannt als Move Virtual Machine (aka MoveVM), entwickelt wurde.
Die von Numen Cyber Labs entdeckte Schwachstelle liegt im Verifizierungsmodul der Sprache Move („stack_usage_verifier.rs“), einer Komponente, die die Bytecode-Anweisungen vor ihrer Ausführung in der MoveVM validiert.
Konkret geht es um eine Integer-Überlaufschwachstelle in der stapelbasierten Programmiersprache Web3, die zu undefiniertem Verhalten und damit zu Abstürzen führen kann.
„Da diese Schwachstelle im Move-Ausführungsmodul auftritt, führt die Ausführung des Bytecodes bei den Knoten in der Kette zu einem [Denial-of-Service]-Angriff“, erklärt das Cybersecurity-Unternehmen.
„In schweren Fällen kann das Aptos-Netzwerk komplett gestoppt werden, was unkalkulierbare Schäden verursacht und die Stabilität des Knotens stark beeinträchtigt.