Aptos区块链发现高危漏洞 白帽黑客用三千美元服务器模拟攻击
区块链安全机构Hexens的研究人员近日披露了Aptos区块链Move虚拟机中的一个高危漏洞。该漏洞若被恶意利用,可能对约700亿美元的加密基础设施构成潜在影响。Hexens团队在2月底向Aptos开发团队报告了这一漏洞,Aptos随即在数小时内完成修复,未发生任何资金损失。
漏洞发现与报告
Hexens的CTO兼联合创始人Vahe Karapetyan发现了Aptos Move虚拟机中的"缓存失效"类型混淆漏洞。这种漏洞可导致软件错误地将一种链上资源当作另一种处理,从而绕过Move语言设计的类型安全保证。Hexens通过紧急安全通道在2月25日报告漏洞,Aptos Labs表示当时内部已在处理,数小时内完成修复并部署至主网。
技术细节与模拟实验
Hexens团队使用一台成本约3000美元的服务器,模拟了超过30个验证节点、接近主网条件的网络环境。在约20次模拟攻击中,成功率达到17-18次,失败尝试不会导致网络中断,攻击者可再次尝试。模拟实验无需验证者权限、内部访问或特殊许可。Polygon CTO Mudit Gupta独立审查了概念验证材料,确认漏洞可被利用。安全机构Grego AI的独立验证显示,Aptos链上约2.5亿美元的总锁仓价值直接暴露在漏洞下。
潜在影响范围
Hexens评估,若漏洞被恶意利用,通过桥接、跨链消息系统、稳定币管理流程和中心化交易所的连锁反应,可能影响约700亿美元加密资产。研究团队验证了利用漏洞获取跨链桥能力、签名权限、铸币角色和协议会计状态的可能性。不过Aptos发言人质疑该漏洞在实际条件下的可利用性。Grego AI指出,漏洞可能被用来窃取LayerZero、Wormhole和USDC的CCTP等协议的能力,但Circle等稳定币发行方可能冻结资产以限制损失。

响应与修复过程
Hexens提交报告当天,紧急响应组织SEAL911即成立战时室协调处理。供应商在数小时内收到通知,四个主要下游项目当天下午获得本地可运行的概念验证材料。2月27日,包含修复的公开补丁上线。Aptos表示私有验证节点补丁在公开提交前已部署。Hexens称未收到技术反驳或基于证据的争议,主要讨论集中在漏洞的概率性利用方面。
此次事件表明区块链基础设施仍可能隐藏深层漏洞,但快速响应和修复机制有效防止了损失。
信息来源:CoinDesk