Aptosブロックチェーンで最大700億ドル規模に影響し得る重大脆弱性、約3,000ドルの攻撃コストでHexensが発見し、Aptosチームが数時間以内に修正

Bitgetは、Aptosブロックチェーンに重大な脆弱性が存在していたことを報じた。攻撃シミュレーションに必要だったコストは約3,000ドル程度とされる一方、Aptosのチームは問題を通報から数時間以内に修正し、メインネットへデプロイしたと伝えられている。なお、この脆弱性は悪用される前に修正されており、ユーザー資産の損失は確認されていない。

事案の詳細

今回の報道によれば、Aptosブロックチェーンのスマートコントラクト実行環境である「Move仮想マシン(Move VM)」に、期限切れキャッシュ(stale cache)に起因する型混同(type confusion)バグが存在していたことが明らかになった。この欠陥は、ソフトウェアがあるオンチェーン資源を別の資源と誤認する可能性を生じさせるもので、DeFiやステーブルコイン、リキッドステーキングなど、Aptosチェーン上の各種プロトコルに対して直接的な脅威を与えうると評価されている。

この脆弱性は、ブロックチェーンセキュリティ企業Hexensのホワイトハットハッカー/研究者チームによって発見された。ChainCatcherやCoindeskなどの報道によれば、Hexensの研究者は2026年2月下旬(報告日は2月25日)に、Aptos開発チームへMove VMの「期限切れキャッシュ」に起因する重大な脆弱性を報告したとされる。研究者らは本番ネットワークに近い環境で攻撃をシミュレーションし、約3,000ドルで構築した十分に設定されたサーバー群を用いて、バリデータの約3分の1を模擬した。その結果、この攻撃の成功率は90%以上に達し、内部関係者のアクセス権や特別な権限なしに、コアなセキュリティ保証を破れることが確認されたという。

Hexensは、シミュレーション環境で約20回の攻撃テストを行い、そのうち17~18回が成功したと説明している。また、この脆弱性が悪意を持って利用された場合、LayerZeroやWormhole、USDC CCTPなどのクロスチェーンプロトコルの管理権限に対する潜在的な制御能力を攻撃者に与えうることも検証された。こうした影響の連鎖により、Aptosチェーン上のDeFiやステーブルコイン、流動的ステーキングなどに関与する数十億ドル規模の資産が直接的なリスクにさらされるだけでなく、クロスチェーンブリッジ、ステーブルコインの発行、中央集権型取引所の残高などを通じて拡散することで、最終的なシステミックリスクのエクスポージャーが最大700億ドル規模に達する可能性が指摘されている。

一方で、Aptosのチームはこの脆弱性について、Hexensからの報告を受けた後、数時間以内に修正を完了し、メインネットへパッチを適用したとされる。Phemexなどの解説によれば、公開パッチは報告から2日後の2026年2月27日に提供され、その後ネットワーク移行とリスクの排除を経て詳細な技術情報が公開された。現時点で、この脆弱性が実際に悪用された事例や、資金流出などの被害は確認されておらず、ユーザーの資産は損なわれていないと報じられている。

なお、具体的にどのアプリケーションや個々のアカウントが最も高いリスクに晒されていたか、個々のプロジェクトごとの影響度合いなど、細部の影響分析については公開情報が限定的であり、詳細は現時点で不明な点も残されている。

影響と背景

攻撃シミュレーションに必要だったコストが約3,000ドル程度とされる点は、攻撃者側の参入障壁が比較的低い可能性を示唆する重要な情報として報じられている。十分に構成されたサーバー群を用意できる技術力と資金を持つ攻撃者であれば、内部関係者の権限がなくても高い成功率で攻撃を成立させ得ることが示されたため、Aptosのコアセキュリティ保証に対する潜在的な脅威は大きかったといえる。

影響範囲については、Hexensの評価やCoindeskの報道を通じて、Aptosチェーン上のDeFi、ステーブルコイン、流動的ステーキングなどのプロトコルに加え、LayerZeroやWormhole、USDC CCTPといったクロスチェーンメッセージング/ブリッジプロトコルの管理権限が侵害される可能性が指摘されている。これらが連鎖的に悪用された場合、Aptosチェーンにとどまらず、他チェーンに跨る暗号資産インフラ全体に波及的な影響が発生し得る構造であったとされる。

Hexensは、この脆弱性により直接的に影響を受ける資産規模を数十億ドルレベルと見積もる一方で、ステーブルコインやクロスチェーンブリッジ、中央集権型取引所の残高・ミント権限などを通じてリスクが拡散した場合のシステミックリスクエクスポージャーは、最大で700億ドル規模に達する可能性を指摘している。こうした推計は、単一チェーンの欠陥がマルチチェーン環境における広範なインフラへ波及しうることを示す事例としても注目されている。

ただし、推計されるシステミックリスクの金額は、関係するプロトコルの総残高やミント権限などを基にしたリスク評価であり、実際に失われた資産を示すものではない。現時点で、当該脆弱性が現実世界で悪用された事例や、具体的な被害額が発生したとの報告はなく、実被害の有無・規模に関しては「資金流出は確認されていない」という範囲を超える詳細は現時点で不明である。

対策・今後の展望

今回の報道では、AptosチームがHexensからの通報を受けた後、数時間以内に脆弱性を修正し、メインネットへデプロイした迅速な対応が強調されている。ブロックチェーン関連のソフトウェアやサービスを利用する関係者にとっては、提供元から重大な脆弱性と修正パッチが公表された際に、それを速やかに反映する運用が重要となる。Aptosの場合、緊急セキュリティチャネルを通じた報告を受けて短時間で修正を行ったことにより、実際の資金流出や攻撃事例を未然に防いだとされている。

もっとも、利用者側がどのようなノードソフトウェアの更新や設定変更を行う必要があったのか、バリデータやサービス事業者が具体的にどのような手順でアップグレードを実施したのか、といった詳細な運用面の情報は一般向けには限定的にしか公開されておらず、入力情報の範囲では確認できない。そのため、個別の対応策や設定変更内容を断定的に記述することは適切ではなく、詳細は現時点で不明とせざるを得ない。

少なくとも、Move VMのコア部分に関わる重大な脆弱性がホワイトハット研究者によって発見・報告され、Aptosチームがこれを迅速に修正した事案として、今後もパッチの適用状況や追加的な技術情報の公開、ならびに他チェーンや関連プロトコルにおける同種の欠陥の有無に関する調査結果が注目されると考えられる。また、期限切れキャッシュや型混同といった問題は、高性能な仮想マシン設計とセキュリティ確保の両立に伴う難しさを象徴する事例でもあり、業界全体でのセキュアな設計指針や検証手法の強化が継続的な課題となる。

参照: Aptosブロックチェーンに重大な脆弱性が存在したことが明らかになり、攻撃コストは数百ドル程度でしたが、チームは迅速に修正しました。 – Bitget

Aptosブロックチェーンで最大700億ドル規模に影響し得る重大脆弱性、約3,000ドルの攻撃コストでHexensが発見し、Aptosチームが数時間以内に修正
最新情報をチェックしよう!