資安会社 Hexens の CTO Vahe Karapetyan 氏は 7 月 5 日、Aptos ブロックチェーンの Move 仮想マシンにおいて stale cache 脆弱性を発見し、型混同を引き起こしました。この脆弱性により、ソフトウェアが Move 言語の型安全性保証を迂回する可能性があります。Hexens は約 3,000 ドル相当のサーバーでシミュレーション環境を構築し、20 回のテストで攻撃成功率は約 9 割に達しました。
Hexens の技術報告書によれば、Karapetyan 氏のチームは脆弱性の実証可能性を検証するため、メインネットに近いシミュレーション環境を構築しました。30 以上のバリデータノード、メインネットに近いステーキング分布、実際のトランザクション流量、高強度の実行競争を備え、構築コストは約 3,000 ドル。実際の攻撃を行う場合、コストはさらに低く、バリデータ権限、内部知識、特権アクセスは不要です。
Hexens はシミュレーション環境で約 20 回テストし、17~18 回成功、成功率は約 9 割。たとえ 2~3 回の失敗があってもネットワークは停止せず、攻撃者は次のタイミングウィンドウを待つことができます。
Aptos 公式および CoinDesk の報道によると、Hexens は 2026 年 2 月 25 日に Aptos bug bounty 計畫を通じて脆弱性を報告。Aptos は、報告を受けた時点でチームがすでにこの問題に取り組んでいたと述べています。暗号業界のボランティア緊急対応チーム SEAL911 は同日に作戦室を設置。同日午後、Aptos は影響を受けるベンダーおよび 4 つの主要な下流プロジェクトに通知し、ローカルで実行可能な概念実証(PoC)を添付しました。
Aptos は CoinDesk に対し、「修正は発見から数時間以内に開発、テストされ、メインネットにデプロイされました。プロセス全体でユーザーや資金に影響はありませんでした。」と述べました。公開修正のプルリクエストは 2 月 27 日に公開されましたが、プライベートバリデータは公開コミットより前に修正のデプロイを完了していました。
CoinDesk の報道によると、Aptos 公式と Hexens の評価には明らかな乖離がありました。Aptos は「分析の結果、この脆弱性は現実世界の条件下では極めて悪用しにくい」と述べたのに対し、Hexens はこれまで証拠に基づく技術的反論を一切受けていないと応じました。
Polygon CTO Mudit Gupta 氏は PoC を個別に検証し、「宣伝通りに動作する。脆弱性は理にかなっている……いくつかの条件を満たす必要があるが、彼らはメインネットでそれを達成したようだ」と述べました。
独立機関 Grego AI が PoC を検証後、CEO Justus Hanna 氏は「悪意のある行為者がこの脆弱性を手にすれば、望む TVL(総ロック価値)をすべて奪うことができる」と直言しました。
Hexens および Grego AI の評価によると、今回の脆弱性のリスク規模は 2 つの階層に分けられます。
Aptos ネイティブ TVL の直接エクスポージャー(Grego AI 評価):攻撃成功率約 9 割に基づき、約 2.5 億ドルの Aptos ネイティブ TVL が直接脅威にさらされ、クロスチェーンエクスポージャーは含みません。
システミックリスク(Hexens 評価):最大 700 億ドルに達し、クロスチェーンブリッジ、クロスチェーンメッセージングシステム、ステーブルコイン発行管理プロセス、および中央集権型取引所がアクセス可能な資産を含みます。この数字は、攻撃者が大量の USDC を増発し、Circle のクロスチェーン転送プロトコル(CCTP)を通じて他のチェーンに資産を移動することを前提としています。
Circle の制約:Circle は法的権限なしに資産を凍結しないと述べており、関係者が適時に介入すれば、700 億ドルのリスクが全額顕在化する可能性は限定的です。
信頼連鎖の拡散リスク:Move 言語における重要なプロトコル権限(ステーブルコインの鋳造、クロスチェーンブリッジの制御、貸付市場の管理)は「オンチェーンリソース」として保存されており、一度侵害されると、被害は信頼連鎖に沿ってそれに依存するすべてのシステムに拡散します。
Hexens は実際のテストで「マスターミンター」に類似する役割を一時的に掌握し、合法的な管理経路に沿って操作し、実際の鋳造は行いませんでしたが、この種の役割を完全な脅威モデルに含める必要があることを証明するに十分でした。
Hexens の技術報告書によると、これは「stale cache 脆弱性」であり、「型混同(type confusion)」を引き起こします。ソフトウェアが誤ってあるオンチェーンリソースを別のものと誤認し、Move 言語の型安全性保証を迂回します。これは攻撃者が制御するコードが他のコントラクトのストレージに直接書き込むことを可能にします。
Aptos 公式声明によると、脆弱性は 2026 年 2 月 25 日に報告されてから数時間以内に修正が開発、テストされ、メインネットにデプロイされました。プライベートバリデータはさらに早くデプロイを完了。公開 PR は 2 月 27 日に公開されました。Aptos はプロセス全体でユーザーや資金に影響はなかったと述べています。
Hexens の評価によると、700 億ドルにはクロスチェーンブリッジ、クロスチェーンメッセージングシステム、ステーブルコイン発行、および中央集権型取引所がアクセス可能な資産が含まれます。前提として、攻撃者が大量の USDC を増発し、Circle CCTP を通じて他のチェーンに移動することです。Circle は法的権限なしに資産を凍結しないと述べており、関係者が適時に介入すれば、リスクが全額顕在化する可能性は限定的です。
関連ニュース
Hinkal DeFi の脆弱性による損失は82万ドル、410 ETHがマネーロンダリングに関与
有名トレーダー監視:Strategy株、491 BTC売却の疑い、真偽は未確認
Drift Protocol は Velocity DEX に改名、2.8億ドル盗難事件後の再開計画
6月の仮想通貨ハッキング被害額(Crypto Hack Losses)は7,590万ドルに減少、Humanity Exploitが最大の被害を出す