白帽黑客揭露 Aptos VM 的漏洞,风险高达700亿美元。
by Admin |
本週,Aptos Move 虛擬機(VM)出現一項關鍵漏洞,安全公司 Hexens 的研究人員揭露了一個陳舊快取漏洞,可能削弱核心類型安全性保證。該缺陷使得類型混淆攻擊成為可能,繞過基於 Move 的區塊鏈執行約束,對去中心化金融(DeFi)協議、穩定幣與跨鏈橋樑造成系統性風險。二月下旬,Hexens 通過 Aptos Labs 的漏洞賞金通道報告此問題。研究人員在一個成本約 3,000 美元的中等伺服器叢集上模擬該利用,在現實網路條件下成功率超過 90%。概念證明顯示,在無內部人員訪問或特權金鑰的情況下,可能鑄造未經授權的資產並操控管理角色。Hexens 的聯合創始人 Vahe Karapetyan 將此漏洞形容為類比於以太坊風格的儲存損壞漏洞,惡意程式會寫入屬於其他協議的合約存儲。Grego AI 的獨立審查與 Polygon 首席技術官 Mudit Gupta 的評估證實該利用具有現實可行性,估計約有 2.5 億美元的 Aptos 原生 TVL 面臨直接暴露;若連同跨鏈與橋樑層,總體系統性風險接近 700 億美元。Aptos Labs 迅速回應:在 SEAL911 框架下召開緊急戰情室,修復於通知後數小時內在主網上线,事件中未有資金損失。Aptos 的高管強調補丁後虛擬機在現實世界的可利用性較低,但同時承認建立健全的基礎設施防護之重要性。此事件凸顯區塊鏈系統需採取主動的安全審計與多層防禦。隨著網路規模提升,智能合約運行時的完整性對維護鏈上資本至關重要。協議團隊現正重新評估漏洞賞金激勵、修補部署工作流與驗證者升級機制,以縮短未來風險窗口。除了 Aptos,此發現重新點燃了跨鏈安全與解析器及虛擬機漏洞可能帶來的連鎖效應的討論。業界持份者呼籲標準化測試框架,以及核心開發者與獨立審計人員之間更密切的合作。一個小型研究團隊能模擬價值數十億美元的攻擊,敲響警鐘:區塊鏈基礎設施必須與威脅能力同步演進。展望未來,重點轉向為 Move 及類似語言引入形式化驗證、增強鏈上執行時監控,以及建立快速回應協議。此漏洞的教訓將塑造新興 Layer-1 生態系統的安全實踐,推動審計驅動的開發新紀元與持續風險評估。
评论 (0)