Aptos、理論上最大700億ドル規模のリスクとなり得る重大脆弱性を修正
AI マーケットサマリー
Aptosは、研究者がオンチェーンのstructと権限リソースの乗っ取りを可能にし得ると述べた、Move VMの"stale-cache"に関する重大な脆弱性を修正した。これにより、DeFiおよびブリッジ全体にわたって理論上の大規模なシステミック・エクスポージャーが示唆される。資金流出はなく、修正は数時間以内にメインネットへ適用されており、これは安定要因だが、この開示は潜在的なスマートコントラクト実行リスクを浮き彫りにしており、Aptosに関連するプロトコル、特にクロスチェーン・ブリッジにおけるリスク管理を強化する可能性がある。
影響度
● 中
影響を受ける資産
APT/USDT-2.52%
AI インサイト · APT/USDTAI インサイト
● 中立
今すぐ取引
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
日々数十億ドル規模の取引を処理するブロックチェーンが、数百ドル差で大惨事を免れた形だ。Aptos Labsは、Move仮想マシン(Move VM)に存在した重大な欠陥を修正した。セキュリティ研究者が、比較的手頃なサーバー構成だけで模擬攻撃が約90%の確率で成功し得ることを示したことを受けた対応となる。
この脆弱性は、ブロックチェーン向けセキュリティ企業Hexensが2026年2月25日に報告した、いわゆる"stalecache"バグ。Aptosは数時間以内にメインネットへ修正を適用し、2月27日にはパッチの内容と、同社のバグバウンティプログラムとの関連を記した公開プルリクエストを提出した。
■ 脆弱性の概要
問題があったのは、ネットワーク上のあらゆるスマートコントラクトの実行基盤であるMove VM内部。攻撃者がオンチェーンの構造体(struct)や権限リソースを乗っ取れる可能性があり、ブロックチェーン上で"誰が何を所有するか"を規定する中核データ構造を改ざんされるリスクが指摘された。
Hexensは概念実証(PoC)として、約3,000ドルのサーバー構成で攻撃を再現。1回あたりの試行コストは数百ドル程度で、シミュレーションでは成功率が約90%に達したという。
Hexensは、Aptos上またはAptosと接続するステーブルコイン、クロスチェーンブリッジ、DeFiプロトコルを勘案し、システミックリスクを700億ドルと見積もった。中でもブリッジは、複数チェーン由来の資産をプールして保管する性質上、単発の侵害で外部起源の資金まで引き出され得るため、特に攻撃対象としての感度が高い。
またPolygonのCTOであるMudit Gupta氏がPoCを独自に精査し、研究者の主張を妥当と検証したとしている。
■ Aptosの対応と見解の相違
本件でユーザー資金の流出は確認されていない。Aptos Labsは、発見からメインネットのパッチ適用までを数時間で完了させた。
一方でAptosは、実際のメインネット環境では現実的な制約により、シミュレーションが示すほど攻撃は容易ではないとして、悪用可能性の評価に異議を唱えた。この見解は、Gupta氏によるPoC検証結果と緊張関係にある。
2月27日の公開プルリクエストでは技術的な修正内容が示され、脆弱性報告がバグバウンティの枠組みに紐づくことも明文化された。Aptosのバグバウンティは重大脆弱性の開示に対し最大100万ドルの報奨金を提示している。
■ 投資家・開発者が注視すべき点
700億ドルというシステミックリスクは、脆弱な経路を同時に連鎖させ得た場合の理論上の最大エクスポージャーを示す。約3,000ドルのサーバーと、試行ごとに数百ドルというコストは、高い価値が乗るネットワークを狙う攻撃者にとって参入障壁が低い。
Aptosを決済基盤として利用するプロトコル、とりわけクロスチェーンブリッジは、この開示を契機に依存関係を含めた監査を進める必要がある。
重大報告で最大100万ドルという上限は競争力があるものの、今回のバグは理論上数百億ドル規模の露出を伴い得た。グレーマーケットでより高値がつく可能性がある中、研究者が責任ある開示を選んだ点も市場の関心を集めそうだ。