一個關鍵漏洞在 Aptos Move 虛擬機(VM)本週浮現,安全公司 Hexens 的研究人員披露了一個過時快取漏洞,可能動搖核心型別安全的保證。該漏洞使得型別混淆攻擊成為可能,能夠繞過基於 Move 的區塊鏈執行限制,對 DeFi 協議、穩定幣和跨鏈橋造成系統性風險。
在二月下旬,Hexens 通過 Aptos Labs 的漏洞賞金通道報告了該問題。研究人員在成本僅 3,000 美元的中等伺服器群集上模擬了該利用,在現實網路條件下的成功率超過 90%。概念證明展示了在無內部存取或特權金鑰的情況下,能鑄造未經授權的資產與操控管理角色的潛力。
Hexens 聯合創辦人 Vahe Karapetyan 將此漏洞描述為類比以太坊風格的存儲損壞漏洞,惡意代碼會寫入屬於其他協議的合約存儲。Grego AI 的獨立評審與 Polygon 首席技術官 Mudit Gupta 的評估證實攻擊的實用性,估計約 2.5 億美元的 Aptos 原生 TVL 面臨直接暴露。若加上跨鏈與橋接層,整體系統性風險接近 700 億美元。
Aptos Labs 迅速回應:在 SEAL911 框架下召開緊急戰情室,並在通知後數小時內於主網實現修補。事件中自無資金遺失。Aptos 高層強調修補後該虛機在實際情況下的利用性很低,儘管他們也承認健全的基礎設施防護的重要性。
該事件凸顯在區塊鏈系統中主動的安全審計與分層防禦的關鍵必要性。隨著網路規模擴大,智慧合約運行時的完整性成為維護鏈上資本的重點。協議團隊現正重新評估漏洞賞金激勵、修補部署工作流程以及驗證者升級機制,以減少未來的風險窗口。
超越 Aptos,此發現重新點燃關於跨鏈安全與解析器與虛擬機漏洞可能引發的連鎖反應的辯論。業界利益相關者呼籲制定標準化測試框架,並促進核心開發者與獨立審計人員之間的更大合作。讓一支小型研究團隊能模擬價值數十億美元的攻擊,敲響警鐘:區塊鏈基礎設施必須與威脅能力同速演化。
展望未來,焦點轉向為 Move 及類似語言整合正式驗證、增強鏈上執行時監控,並建立快速回應協議。這次漏洞的教訓將塑造新興 Layer-1 生態系統的安全實踐,推動審計驅動開發與持續風險評估的新紀元。
評論 (0)