Des chercheurs ont révélé des détails sur une faille critique désormais corrigée dans la machine virtuelle Move qui alimente le réseau blockchain Aptos.

Numen Cyber ​​​​Labs, basé à Singapour, a déclaré dans un rapport technique publié au début du mois que la vulnérabilité peut provoquer le plantage des nœuds d'Aptos et un déni de service.

Aptos est un nouvel entrant dans l'espace blockchain, qui a lancé son réseau principal le 17 octobre 2022. Il trouve ses racines dans le système de paiement Diem stablecoin proposé par Meta (née Facebook), qui a également introduit un portefeuille numérique éphémère appelé Novi.

Le réseau est construit à l'aide d'un langage de programmation agnostique connu sous le nom de Move, un système basé sur Rust qui est conçu pour mettre en œuvre et exécuter des contrats intelligents dans un environnement d'exécution sécurisé, également connu sous le nom de Move Virtual Machine (aka MoveVM).

La vulnérabilité identifiée par Numen Cyber Labs est ancrée dans le module de vérification du langage Move ("stack_usage_verifier.rs"), un composant qui valide les instructions du bytecode avant son exécution dans MoveVM. Plus précisément, elle concerne une vulnérabilité de débordement d'entier dans le langage de programmation Web3 basé sur la pile qui pourrait entraîner un comportement non défini et donc des plantages.

Étant donné que cette vulnérabilité se produit dans le module d'exécution Move, pour les nœuds de la chaîne, si le code bytecode est exécuté, il provoquera une attaque déni de service.

Dans les cas graves, le réseau Aptos peut être complètement arrêté, ce qui causera des dommages incalculables, et aura un impact sérieux sur la stabilité du nœud.