本周,Aptos Move 虚拟机(VM)暴露出一个关键漏洞,安全公司 Hexens 的研究人员披露了一个陈旧缓存(stale-cache)漏洞,可能削弱核心类型安全保证。该缺陷使得类型混淆攻击成为可能,能够绕过基于 Move 的区块链的执行约束,对 DeFi 协议、稳定币和跨链桥造成系统性风险。
在二月下旬,Hexens 通过 Aptos Labs 的漏洞赏金通道报告了这一问题。研究人员在一个仅花费约 3000 美元的中等规模服务器集群上模拟了该漏洞,在现实网络条件下达到了超过 90% 的成功率。该概念验证展示了在没有内部访问或特权密钥的情况下铸造未授权资产与操控管理角色的潜力。
Hexens 联合创始人 Vahe Karapetyan 将此漏洞描述为类似以太坊风格的存储损坏漏洞,即恶意代码写入属于其他协议的合约存储。Grego AI 的独立评审和 Polygon CTO Mudit Gupta 对该漏洞的可行性进行了确认,估计大约 2.5 亿美元的 Aptos 原生 TVL 直接暴露。若计入跨链和桥接层,总体系统性风险接近 700 亿美元。
Aptos Labs 迅速回应:在 SEAL911 框架下召集了紧急作战室,修复在通知后数小时内已在主网上线。此次事件未造成资金损失。Aptos 高管强调打补丁后 VM 在实际利用性方面的可利用性较低,同时承认强化基础设施防护的重要性。
该事件凸显主动安全审计和分层防御在区块链系统中的关键需求。随着网络规模扩大,智能合约运行时的完整性对维持链上资本的安全至关重要。协议团队现在正在重新评估漏洞赏金激励、补丁部署工作流以及验证者升级机制,以尽量缩小未来的风险窗口。
超越 Aptos,这一发现重新点燃了关于跨链安全以及解析器和 VM 漏洞可能引发的连锁效应的辩论。行业利益相关者呼吁建立标准化的测试框架,并加强核心开发者与独立审计机构之间的协作。一个小型研究团队就能模拟数十亿美元级的攻击,这一警示表明:区块链基础设施必须与威胁能力同步演进。
展望未来,重点将转向将 Move 等语言的形式化验证整合到链上开发中、加强链上运行时监控,并建立快速响应协议。此次漏洞的经验教训将塑造新兴一级生态系统的安全实践,推动以审计驱动的发展和持续的风险评估进入新纪元。
评论 (0)