HexensがAptosの重大脆弱性修正を公表、最大700億ドル規模でクロスチェーンブリッジとステーブルコイン基盤に影響し得た問題

ブロックチェーンセキュリティ企業のHexensは、レイヤー1ブロックチェーンであるAptosのMove仮想マシン(Move VM)に存在していた重大な脆弱性が修正されたことを明らかにした。この脆弱性は、理論上最大700億ドル(約7兆円)規模のデジタル資産にシステミックリスクをもたらし得るもので、特にクロスチェーンブリッジおよびステーブルコインのインフラに影響を及ぼし得たとされる。Aptosチームは報告後、短時間でパッチを適用し、資産流出などの被害は発生していないと説明している。

事案の詳細

報道によると、Hexensのホワイトハットハッカーは2024年2月下旬、Aptosブロックチェーン上でスマートコントラクトの実行環境を担うMove VMにおいて、いわゆる「stale cache(ステールキャッシュ)脆弱性」と呼ばれる重大な欠陥を発見し、Aptos開発チームに報告した。この脆弱性は型混同(type confusion)バグを引き起こし、ソフトウェアがあるオンチェーンリソースを別のリソースとして誤認する可能性があるとされている。

この欠陥が悪用された場合、Aptos上の各種プロトコルにおいて、不正な資産移転や残高の改ざんなどにつながるおそれがあり、その影響はステーブルコインやクロスチェーンブリッジ約700億ドル相当のデジタル資産がリスクにさらされ得たと報じられている。

Hexensの研究者は、本番に近いネットワーク環境でこの攻撃をシミュレーションし、90%を超える成功率で再現に成功したとされる。試験環境は、およそ3,000ドル程度のコストで構成されたサーバー群を用いて、Aptosネットワークの約3分の1のバリデータを模擬する形で構築されており、攻撃には内部者のアクセス権や特別な権限は必要なかったと説明されている。

Aptos開発チームは、この報告を受けて数時間以内にパッチを適用し、Move VMの脆弱性を修正したとされる。複数の報道によれば、この脆弱性が悪用された痕跡や、実際の資産流出・不正送金などの被害は確認されていない。一方で、具体的なパッチの技術的内容や、どのバージョンから修正が反映されているかなどの詳細な実装情報は、公開情報の範囲では明らかにされていない部分もある。

被害の有無については、各種報道で「資金の損失はなかった」「資産流出は確認されていない」と明示されているため、現時点で実際の不正送金やサービス停止などが発生した事実は確認されていない。ただし、攻撃が本番ネットワークで実行されていた場合には広範な影響が出た可能性があることから、今回の修正は潜在的な大規模インシデントを未然に防いだ事案と位置づけられる。

影響と背景

クロスチェーンブリッジとステーブルコインのインフラは、複数のチェーン間をまたぐ資産移転や決済・清算などの基盤となる領域であり、多数の利用者やプロトコル、取引・送金の流れに関わり得る。今回の脆弱性は、Aptosチェーン上のMove VMという基盤部分に存在したことから、特定のアプリケーションに限定されない、より広範なリスク要因となり得た。

報道では、この脆弱性が悪用されていた場合、ステーブルコインやクロスチェーンブリッジを通じて理論的に最大700億ドル規模の資産にシステミックリスクが生じ得たとされ、レイヤー1ブロックチェーンの設計やバリデータネットワーク構成が、DeFiエコシステム全体の安定性に直結することが改めて浮き彫りとなった。とくに、内部者アクセスや特別な権限を必要とせず、比較的低コストなサーバー環境と高い成功率で攻撃が成立し得たという点は、パブリックチェーンのオープン性と安全性のトレードオフを再認識させるものとなっている。

一方で、Aptosチームが Hexens からの報告後、短時間でパッチを適用し、資金の損失を回避したとされることから、ホワイトハットによる責任ある開示と、開発側の迅速なインシデント対応が機能した事例ともいえる。影響範囲や関係する個別プロジェクト名、具体的なプロトコルごとのリスク評価などは、公開された情報だけでは詳細を断定できないが、MoveベースのスマートコントラクトやAptosエコシステム全体に対するセキュリティ検証の重要性が強く意識される契機となった。

対策・今後の展望

元記事や関連報道から確認できる確かな事実は、AptosがMove VMの重大な脆弱性について報告を受け、速やかに修正を行い、資金的被害は確認されていないという点である。基盤部分の脆弱性が発見・修正された場合、関係者が修正内容や告知の有無を確認し、自身の運用環境への影響を評価することが重要となる。

今回も、Aptosおよび関連するインフラに依存するプロジェクトやサービス事業者、バリデータなどの関係者は、Aptos公式からのアップデート情報やセキュリティアドバイザリの有無を確認し、必要に応じてノードソフトウェアや依存コンポーネントの更新を行うことが望ましい。また、Moveベースのスマートコントラクトを開発・運用しているチームにとっては、VMレベルの挙動やキャッシュ機構に関する理解を深め、類似の型混同バグが別の形で表出しないよう、監査やテスト手順を強化することが求められる。

  • 関係者向け情報の確認:Aptosや関連インフラの更新・修正に関する公式アナウンスやセキュリティアラートを確認し、自身の運用環境が最新状態になっているかを点検する。
  • 運用手順の点検:ブリッジやステーブルコイン関連機能、その他Aptosチェーン上の資産管理機能を利用・提供している場合、Move VMの修正によって前提条件や依存関係に変更がないかを確認し、必要に応じて運用手順やモニタリング項目を見直す。
  • 継続的な監視:今回のような基盤レベルの脆弱性が報じられた際には、HexensやAptos側からの追加情報、技術レポート、パッチの詳細解説などが今後公開される可能性があるため、関連する後続情報を継続的にウォッチし、自組織のリスク評価やセキュリティ対策に反映していくことが重要となる。

参照: Hexensは、Aptosがクロスチェーンブリッジおよびステーブルコインインフラに影響を与える脆弱性を修正したことを明らかにしました – Bitget

HexensがAptosの重大脆弱性修正を公表、最大700億ドル規模でクロスチェーンブリッジとステーブルコイン基盤に影響し得た問題
最新情報をチェックしよう!