Aptos 的 Move VM 中一個過時快取漏洞,讓研究人員有近 90% 的成功率可破壞該鏈的核心安全保證,攻擊成本僅需數百美元。
Aptos 的 Move VM 中一個過時快取漏洞,讓研究人員有近 90% 的成功率可破壞該鏈的核心安全保證,攻擊成本僅需數百美元。

Aptos 的 Move VM 中一個過時快取漏洞,讓研究人員有近 90% 的成功率可破壞該鏈的核心安全保證,攻擊成本僅需數百美元。
一台 3000 美元的伺服器就足以讓安全研究人員模擬對 Aptos 區塊鏈的攻擊,而該攻擊可能使高達 700 億美元的加密基礎設施陷入風險,根據週五發布的研究結果顯示。
「它運作得像宣稱的那樣,而且這個漏洞利用方式是合理的,」Polygon 技術長 Mudit Gupta 在獨立審查了概念驗證材料後告訴 CoinDesk。「它需要滿足幾個條件,而這些條件在主網上似乎確實存在。」
區塊鏈安全公司 Hexens 的研究人員在 Aptos Move 虛擬機中發現了一個過時快取漏洞,進而導致類型混淆的弱點。Move VM 是該鏈處理智慧合約的執行環境。該團隊在模擬環境中執行了約 20 次的漏洞利用路徑,成功 17 到 18 次——成功率接近 90%——所使用的伺服器配置約為 3000 美元,模擬了大約三分之一的驗證節點網絡。該攻擊無需內部權限或特殊許可。
該漏洞於 2 月 25 日透過 SEAL911 緊急通報管道上報,Aptos 在數小時內就在主網上部署了修補程式。沒有任何資金損失。但這則揭露顯示,單一未被發現的漏洞在第一層區塊鏈的執行層中,如何可能經由跨鏈橋、穩定幣發行商和中心化交易所層層擴散,將一個可控的協議缺陷轉變為市場級的危機。
漏洞如何運作
這類漏洞的敏感性在於 Move 語言如何處理權限。Move 中的協議權限——包括鑄造穩定幣、控制跨鏈橋或管理借貸市場的權利——都直接作為鏈上資源儲存。如果這些資源遭到損害,其影響將擴及所有信任這些資源的系統。
Hexens 的研究人員將此漏洞比作以太坊鏈上的一個缺陷,該缺陷會讓攻擊者控制的程式碼能夠寫入屬於其他合約的儲存空間,繞過 Move 語言為維護而特別設計的型別系統保證。
獨立驗證了 Hexens 概念驗證的 Grego AI 計算出,根據近 90% 的成功率,Aptos 原生鎖定總價值中約有 2.5 億美元直接面臨風險,這還不包括更廣泛的跨鏈曝險。
700 億美元的系統性風險
Hexens 評估,更廣泛的第一階系統性風險約為 7000 億美元——這個數字包含了可透過跨鏈橋、跨鏈訊息系統、穩定幣管理流程和中心化交易所取得的價值。Grego AI 指出,該漏洞還可被用來竊取由 LayerZero、Wormhole 和 USDC 跨鏈傳輸協議持有的協議能力。
「如果惡意行為者掌握了這個漏洞,他們就能奪取所有他們想要的 TVL,」Grego AI 執行長 Justus Hanna 表示。
7000 億美元的估算依據是鑄造大量 USDC,並利用 Circle 的 CCTP 將其跨鏈轉移。在實務上,Circle 可以暫停 USDC 轉帳,不過這家穩定幣發行商在表示未經法律授權不會凍結資產後,已面臨密切關注。即便如此,研究人員還是展示了他們能夠存取主鑄造者角色、跨鏈橋簽署者能力以及協議會計狀態——這些正是位於跨鏈系統頂層的權限類型。
進入更廣泛攻擊面的主要途徑是經由中心化交易所,特別是連接鏈上活動與交易所存款入帳的 Aptos 跨鏈橋路徑。
應對與揭露
就在 Hexens 提交報告的同一天,一個 SEAL911 緊急作戰室被打開以協調應對措施。數小時後,相關廠商被通知,當天下午四個主要的下游項目也收到警報,每個項目都收到了可在地端執行的概念驗證材料以及相關權限模式的分析。
反映修補程式的公開合併請求於 2 月 27 日上線。Aptos 表示,在公開提交之前,一個針對驗證節點的私密修補程式已經部署。Aptos 的一位發言人告訴 CoinDesk,「從發現漏洞到數小時內,修補程式就已開發、測試並部署到主網。在任何時候都沒有用戶或資金受到影響。」該發言人還對該漏洞在實際環境中的可利用性提出異議,稱公司的分析判定該漏洞在「現實條件下具有極低的可利用性」。
Hexens 表示,尚未收到任何技術性反駁或基於證據的論證來質疑其所展示的影響類別。該公司表示,回饋給研究人員的主要擔憂涉及該漏洞利用的機率性問題——而這正是該團隊校準工作所要解決的問題。
如果攻擊者發現並利用了這個漏洞,其破壞規模可能超越去年 Bybit 遭竊的 15 億美元駭客事件。今年六月,Zcash 在開發人員揭露一個在其隱私池中潛伏四年未被發現的關鍵漏洞後,幣價暴跌 38%,該漏洞原本可能允許攻擊者鑄造無限數量的偽造代幣。Aptos 的這起揭露,為一系列考驗業界在漏洞被利用前發現並修補關鍵缺陷能力的「險些釀災」事件再添一例。
本文僅供資訊參考,不構成投資建議。