重要なポイント:
- Hexensの研究者は2月に期限切れキャッシュのバグを非公開で報告
- この欠陥により、ブリッジ経由のデジタル資産最大700億ドルが危険にさらされる可能性があった
- Aptosは悪用が行われる前に脆弱性にパッチを適用
重要なポイント:

Aptosは、セキュリティ研究者が最大700億ドルのデジタル資産をシステムリスクにさらす可能性があると指摘した、Move仮想マシンの重大な脆弱性にパッチを適用した。
「期限切れキャッシュの問題により、古いデータが実行コンテキスト間で永続化され、攻撃者が資産の状態を操作できる可能性があった」と、HexensチームはCoinDeskへの声明で述べた。
このバグは、ブロックチェーンプロトコルの監査を専門とするセキュリティ企業Hexensによって2月下旬にAptosの開発者に非公開で報告された。脆弱性はMove VMのキャッシング層に存在し、期限切れのデータが新たに計算されるのではなくキャッシュから提供され、スマートコントラクト実行全体にわたって状態操作の余地を生み出すものだった。Aptosは数ヶ月にわたる協調的な開発とテストを経て7月5日に修正を展開し、資金の損失は発生しなかった。
このパッチは、イーサリアム、ソラナ、その他のチェーンから数十億ドル相当のブリッジ資産をホストするAptosエコシステムにとって、壊滅的な障害ベクトルとなり得たものを排除するものである。このインシデントは、クロスチェーンブリッジとステーブルコイン発行が規模を拡大する中で、L1プラットフォームにのしかかるセキュリティ負担の増大を示している。これは、より多くの実世界資産がオンチェーンに移行するにつれて、さらに強まるであろう力学である。
元々MetaのDiemプロジェクトで開発されたMoveプログラミング言語を使用するAptosは、イーサリアムに代わる高スループットの選択肢として位置づけられている。DefiLlamaのデータによると、DeFiプロトコル全体でロックされたネットワークの総価値(TVL)は7月初旬時点で約12億ドルであり、USDC、USDT、ラップドイーサのブリッジ表現を通じて追加の価値が流入している。期限切れキャッシュの欠陥が悪用されていた場合、攻撃者はトランザクション境界を越えてキャッシュされた状態データを操作し、これらのプールを流出させることができた可能性がある。
700億ドルというエクスポージャー推定額は、ステーブルコインや主要暗号資産のクロスチェーン表現を含め、Aptosネットワークにブリッジまたは発行された資産の総価値を反映している。Aptosの実際のTVLはこれより低いものの、クロスチェーンブリッジの相互接続性により、あるL1での侵害が接続されたネットワークに連鎖する可能性がある——このリスクは、セキュリティ監査人や保険プロバイダーから近年ますます注目を集めている。このパッチは、2025年から2026年にかけて複数の高級ブリッジの悪用が発生した後、暗号市場全体でセキュリティ意識が高まっている時期に適用された。
Aptosにとって、この協調的な情報開示の成功は、機関投資家による採用に向けた前向きなシグナルとなる。同ネットワークは、形式検証と安全性の保証を重視するMoveベースのアーキテクチャで伝統的な金融機関への働きかけを進めてきた。公的な悪用が発生していれば、こうした取り組みは頓挫しかねなかった。代わりに、静かなパッチ適用により、プラットフォームはイーサリアム、ソラナ、SuiとMoveエコシステムにおける開発者のマインドシェアを競う中で、セキュリティに関するナラティブを維持することが可能となった。
本記事は情報提供のみを目的としており、投資アドバイスを構成するものではない。