3000ドルのサーバーで発見されたAptosの致命的脆弱性が700億ドル規模の暗号資産に影響の可能性

約3000ドルのサーバー1台でシミュレートされた攻撃により、最大700億ドル相当の暗号資産インフラが危険にさらされる可能性を指摘した研究が話題となっている。

本件の焦点は、Facebookの中止プロジェクトDiem由来のスマートコントラクト言語Moveを用いるLayer-1ブロックチェーン「Aptos」に寄せられた致命的な脆弱性である。Move言語はSuiも採用している。

2月下旬、ブロックチェーンセキュリティ企業Hexensの研究者らは、Aptos Move仮想マシンの実行環境で深刻な脆弱性が発見され、当該プロジェクトの開発チームに報告した。Hexensは該当バグを「stale-cacheバグ」と称し、チェーン上のオンチェーンリソースの種類を誤認する型の混同(タイプコンフュージョン)脆弱性であると説明した。

Aptos開発チームは報告直後に即座にパッチを適用し、資金の損失は発生しなかった。

Aptosの広報担当はCoinDeskに対し、「2月25日、バグバウンティプログラムを通じて潜在的問題が通知され、社内調査が進められていた。発見後数時間以内に修正が開発・テストされメインネットに展開されたため、ユーザーや資金への影響は一切なかった」と述べた。

さらに同担当者は、脆弱性の実用的な悪用可能性についても「現実の環境下での悪用は極めて低い」との見解を示した。

一方で研究者側の発見は、業界が直面するリスクの深刻さを浮き彫りにしている。

このバグの本質は、Move言語が権限管理に用いるオンチェーンリソースの直接管理に起因する。これらのリソースはステーブルコインの発行権やブリッジ管理、レンディング市場の運営権などを含み、これらが侵害されると影響は単一プロトコルに止まらず、信頼するすべてに波及する。

Hexensの研究者は、この脆弱性をイーサリアム型チェーンにおける攻撃者コードが他コントラクトのストレージを書き換え、型の保証を破ることに匹敵すると説明する。

PolygonのCTO、Mudit Guptaは独自にPoCを検証し、「攻撃は理に適っており、メインネット上で条件も満たされている」とCoinDeskに語った。

またHexensのPoCを検証したGrego AIは、約2億5000万ドル相当のAptosネイティブTVLが直接のリスク下にあると推定し、これはさらに広範なクロスチェーンリスクとは別であると指摘した。

本脆弱性を発見したHexensのCTO兼共同創業者Vahe Karapetyan氏によれば、未対処の場合、ブリッジ、ステーブルコイン、DeFiプロトコル、中央集権取引所に跨る数十億ドル規模のシステミックリスクを引き起こし、Aptosを超えた危機を招く恐れがあったという。

実験に必要なインフラ構築費用は約3000ドルで、Aptosメインネットの環境を模擬したサーバーを用いた。攻撃者が実際に仕掛ける場合、バリデーター権限や特権的な管理権限は不要であり、さらに低コストで可能だった可能性が示唆されている。

チームはシミュレートした環境で約20回攻撃経路を試行し、そのうち17~18回成功した。失敗回もネットワーク停止などの重大な影響ではなく、再挑戦が可能な状態だった。

シミュレーションは30以上のバリデータノードクラスタ、メインネットに近いステーク分布、有機的なトランザクショントラフィック、頻繁な実行競合まで忠実に再現。Hexensは「非武装調整技術」と呼ぶ手法も用い、攻撃前にメモリプールやブロック構築状況をドライランで測定し、不確実性を大幅に減少させている。これにより攻撃経路は実用上、より高い信頼性を持つものとなった。

報告当時の公開データに基づき、HexensはAptos上のDeFiプロトコル、トークン化資産、ステーブルコイン、リキッドステーキングシステムなどの直接的なプロトコル露出を低単位の数十億ドルと評価。

ただし、この種の攻撃の影響は被害チェーンに限らず、より広範なシステミックリスクとなることが通例である。

Hexensの評価する一次的なシステミックリスクは約700億ドルであり、これはブリッジ、クロスチェーンメッセージング、ステーブルコイン管理、中央集権取引所を含む巨大な規模のリスクである。

Grego AIはこの攻撃によってLayerZero、Wormhole、USDCのCCTPが保有するプロトコル権限も乗っ取られると指摘。Grego AI CEOのJustus Hannaは「攻撃者がこの脆弱性を利用可能なら、望むままに全TVLを奪取できた」と語っている。

このシミュレーションは、ブロックチェーン技術が未知のバグに対して依然として脆弱である事実を強調するものだ。

もし実際に攻撃者がこの脆弱性を悪用していれば、昨年のBybitの15億ドル超の被害を大きく上回る損失も現実的にあり得た。直近では、6月にZcash(ZEC)が開発者により長期間検出されなかった重大なバグが明らかになり、プライバシープールから偽造トークンが発行される恐れから38%急落したほか、それ以前の9桁規模のブリッジハッキングやプロトコルの悪用も市場基盤の信頼を揺るがせている。

なお、700億ドルという数字は、巨大なUSDCステーブルコイン資産がCircleのクロスチェーン転送プロトコル(CCTP)を通じてチェーン間を移動するシナリオに基づく推定である。もし攻撃者がこれを実行した場合、Circleなどによる移動停止措置が想定されるが、ステーブルコイン発行元は法的許可なく資産凍結を行わないと述べており、この点は議論の余地がある。つまり関係者全員の介入があれば700億ドルの全額達成は困難だが、業界に与えた衝撃は明白である。

今回のPoCは、クロスチェーンシステムの中核にある権限アクセス—ブリッジ機能、署名権限、マスターミンターロール、プロトコル会計状態—に対する攻撃の有効性を示した。研究者はマスターミンターロール乗っ取りや正当な管理経路の悪用を検証したものの、実際のトークン発行はしていない。支配的な攻撃経路は中央集権型取引所を介し、とりわけAptosブリッジのオンチェーン活動と取引所預金の接続にあった。

対応および開示として、報告当日にHexensは「SEAL911」と名付けた緊急対応部隊を設置し対策調整を行った。SEAL911は暗号資産エコシステム全体で重要な初期対応役割を担うボランティアセキュリティグループである。

設置後数時間でベンダー通知がなされ、午後には主要な4下流プロジェクトに連絡が行き、ローカル実行可能なPoC資料や権限パターン分析が提供された。

修正を反映するプルリクエストは2月27日に公開され、Aptosはプライベートバリデーターへのパッチ展開が公開コミットより前に完了していたと報告している。

Hexensは技術的反論や証拠に基づく論駁は受けておらず、主に攻撃の確率的要素に焦点を当てているとし、チームの調整は不確実性を軽減する目的であったと主張している。

資金の盗難はなかったものの、今回のシミュレーションは、ブロックチェーンレベルの侵害においてレート制限、発行者の凍結、ブリッジ制御、取引所監視、バリデータのパッチ適用が単なる二次的な安全策に留まらず、市場全体への攻撃拡大を阻止する分岐点となる可能性を示している。

OFFICIAL PARTNER

BingXで
暗号資産取引を始める

シンプルな登録で、取引・先物・コピートレードをひとつのプラットフォームで。

Crypto Futures Copy
BingX パートナーリンク
Scroll to Top