Aptos 修補 Move 虛擬機致命漏洞 理論風險高達 700 億美元
AI 市場總結
Aptos 修補了一個關鍵的 Move VM「stale-cache」漏洞,研究人員表示該漏洞可能令攻擊者劫持鏈上 structs 及 authority 資源,意味著 DeFi 及跨鏈橋之間存在龐大的理論性系統性曝險。沒有資金損失,而修復亦在數小時內部署至主網,這具穩定作用,但該披露凸顯了潛在的智能合約執行風險,並可能收緊對 Aptos 相關協議的風險控制,尤其是跨鏈橋。
影響等級
● 中
主要受影響標的
APT/USDT-2.54%
AI 觀點 · APT/USDTAI 觀點
● 中性
立即交易
⚠️ AI觀點僅為演算法基於新聞內容的自動生成分析,不構成投資建議,不代表BingX立場。市場有風險,投資需謹慎。
一條每日處理數十億美元交易量的區塊鏈,曾距離一場潛在災難僅差數百美元成本。Aptos Labs 近日緊急修補 Move 虛擬機(Move VM)的關鍵漏洞。安全研究人員指出,在模擬環境下,攻擊者只需一般伺服器配置便可令攻擊接近 90% 成功。
涉事漏洞被稱為 "stalecache" bug。區塊鏈安全公司 Hexens 於 2026 年 2 月 25 日向 Aptos 通報後,Aptos 在數小時內便把修補程式部署至主網。2 月 27 日,Aptos 再提交公開 pull request,披露修補細節,並說明事件與其漏洞懸賞計劃的關聯。
漏洞影響範圍:可針對鏈上核心資料結構
該缺陷位於 Move VM 內,屬於網絡所有智能合約的執行環境。Hexens 指出,漏洞可能讓攻擊者挾持鏈上 structs 與權限資源(authority resources),意味攻擊者有機會改寫或操控界定資產歸屬的核心資料結構。
Hexens 以概念驗證(PoC)展示攻擊可行性:使用成本約 3,000 美元的伺服器即可運行測試,每次嘗試成本僅數百美元,模擬成功率接近 90%。
系統性風險估算:700 億美元
Hexens 估算系統性風險達 700 億美元,涵蓋建立於 Aptos 之上的或與其相連的穩定幣、跨鏈橋及 DeFi 協議。報告特別指出跨鏈橋屬高敏感目標:由於橋上往往集中託管多條鏈的資產,一旦被攻破,可能導致源自其他鏈的資金被一併抽走。
Polygon 的 CTO Mudit Gupta 表示已獨立審閱研究人員的 PoC,並確認其結論。
Aptos 回應與後續爭議
Aptos 表示事件期間未有用戶資金損失,並強調由發現到主網修補僅用數小時。對於漏洞在真實主網環境下的可利用性,Aptos 對外界說法提出異議,指現實世界限制會令成功攻擊較模擬環境更困難。這一立場與 Gupta 對 PoC 的獨立驗證形成張力。
2 月 27 日的公開 pull request 記錄了技術修補內容,亦把披露流程正式納入 Aptos 漏洞懸賞計劃。該計劃對關鍵級別漏洞最高可提供 100 萬美元獎金。
投資者與開發者需留意
所謂 700 億美元系統性風險,屬於在攻擊者能同時串連所有潛在脆弱路徑時的最大理論敞口。以 3,000 美元伺服器加上每次數百美元嘗試成本而言,攻擊門檻偏低,與高價值網絡形成不對稱風險。
依賴 Aptos 作結算層的協議,尤其是跨鏈橋,宜把今次披露視為警號,檢視並審計自身依賴關係。另方面,Aptos 對關鍵漏洞提供最高 100 萬美元獎金在同業中具競爭力,但若以此次漏洞數以百億美元計的理論敞口衡量,研究人員即使在灰色市場可能獲得更高回報,仍選擇負責任披露。