今週、セキュリティ企業 Hexens の研究者が、コアの型安全性保証を損なう可能性のある stale-cache バグを暴露したことを受け、Aptos Move 仮想マシン(VM)に重大な脆弱性が浮上しました。欠陥は Move ベースのブロックチェーン上の実行制約を回避できる型混乱攻撃を可能にし、DeFi プロトコル、ステーブルコイン、クロスチェーンブリッジ全体にわたる体系的リスクを招きます。
2月下旬、Hexens は Aptos Labs のバグ報奨プログラム経由でこの問題を報告しました。研究者らは、3,000ドル程度のごく小規模なサーバークラスタで脆弱性を模擬し、現実的なネットワーク条件下で成功率は90%を超えました。概念実証は、内部アクセスや特権キーなしで、無許可の資産を発行し、管理者権限を操作する可能性を示しました。
Hexens の共同創設者 Vahe Karapetyan は、この不具合を Ethereum 風のストレージ汚染脆弱性に類似していると述べました。悪意あるコードが他のプロトコルに属するコントラクトストレージへ書き込むという例です。Grego AI および Polygon の CTO Mudit Gupta による独立検証は、攻撃の実用性を確認し、Aptos ネイティブの TVL が直接的に露出すると推定しました。クロスチェーンおよびブリッジ層を含めると、総合的な体系リスクは約700億ドルに近づきました。
Aptos Labs は迅速に対応しました。SEAL911 フレームワークの下で緊急対応会議を招集し、通知を受けて数時間以内にメインネットへ修正を適用しました。事件で資金の流出はありませんでした。パッチ適用後の VM の現実世界での悪用可能性は低いと幹部は強調しましたが、強固なインフラ防御の重要性を認めました。
この事例は、ブロックチェーンシステムにおける積極的なセキュリティ監査と層状防御の必要性を改めて強調します。ネットワークが拡大するほど、スマートコントラクトのランタイムの完全性はオンチェーン資本を守るうえで最重要となります。プロトコルチームは、将来のリスク期間を最小化するために、バグ報奨金のインセンティブ、パッチ展開のワークフロー、バリデータのアップグレード機構を再評価しています。
Aptos を超えて、この発見はクロスチェーンのセキュリティとパーサーおよび VM 脆弱性の連鎖的影響の可能性についての議論を再燃させます。業界の利害関係者は標準化されたテストフレームワークと、コア開発者と独立監査人との協力をより一層求めています。小規模な研究チームが数十億ドル規模の攻撃を模擬できるという事実は警鐘となります。ブロックチェーン基盤は、脅威の能力と同じペースで進化しなければならないのです。
今後は Move および同様の言語に対する正式検証の統合、オンチェーン実行時のモニタリング強化、迅速な対応プロトコルの確立に焦点が移ります。この脆弱性から得られた教訓は、新興のレイヤー1エコシステム全体のセキュリティ実務を形づくり、監査主導の開発と継続的なリスク評価の新時代を推進するでしょう。
コメント (0)