本週,安全公司 Hexens 的研究人員揭示了一個 Aptos Move 虛擬機(VM)中的嚴重漏洞,揭露了一個陳舊快取漏洞,可能削弱核心型別安全保障。該缺陷使得型別混淆攻擊成為可能,能夠繞過以 Move 為基礎的區塊鏈執行約束,對 DeFi 協議、穩定幣及跨鏈橋造成系統性風險。
二月下旬,Hexens 通過 Aptos Labs 的漏洞賞金通道報告了該問題。研究人員在成本僅約 3,000 美元的中等服務器集群上模擬該利用,在現實網絡條件下取得超過 90% 的成功率。概念驗證顯示在無內部存取權或特權金鑰的情況下,能鑄造未經授權的資產並操縱管理角色的潛力。
Hexens 的聯合創始人 Vahe Karapetyan 將該漏洞描述為類似以太坊風格的存儲損壞漏洞,即惡意代碼寫入屬於其他協議的合約存儲。Grego AI 的獨立審查以及 Polygon 的首席技術官 Mudit Gupta 的評估證實該利用的可行性,估計約 2.5 億美元的 Aptos 原生 TVL 面臨直接暴露。若把跨鏈與橋接層也計入,總體系統性風險接近 700 億美元。
Aptos Labs 迅速回應:在 SEAL911 框架下召開緊急戰情室,修補於通知後數小時內在主網上線。事件中未有資金損失。Aptos 高層強調修補後虛擬機在現實世界的可利用性較低,儘管他們承認健全的基礎設施防護的重要性。
此事件凸顯區塊鏈系統中主動安全審計與分層防禦的緊迫需求。隨著網絡規模擴大,智慧合約運行時的完整性對於維護鏈上資本至關重要。協議團隊現正重新評估漏洞賞金激勵、修補部署流程與驗證者升級機制,以縮短未來風險窗期。
除了 Aptos,此次發現重新點燃了對跨鏈安全以及解析器與虛擬機漏洞可能帶來的連鎖效應的辯論。業界相關方呼籲建立標準化的測試框架,並促進核心開發者與獨立審計人員之間的更緊密合作。讓一個小型研究團隊能夠模擬價值數十億美元的攻擊,發出警鐘:區塊鏈基礎設施必須與威脅能力同速發展。
展望未來,焦點轉向為 Move 及類似語言整合形式化驗證、加強鏈上運行時監控,以及建立快速回應協議。此漏洞的教訓將塑造新興一級生態系統的安全實踐,推動審計驅動的開發與持續的風險評估,開啟新時代。
評論 (0)