アプトスのMove VMに重大脆弱性、ヘクセンズ報告。修正済みで被害確認されず

Move VM実行レイヤーに重大な脆弱性

ブロックチェーンセキュリティ企業のヘクセンズ(Hexens)が、レイヤー1ブロックチェーン「アプトス(Aptos)」の実行環境「Move VMランタイム(Move VM Runtime)」に重大な脆弱性が存在していたとする技術レポート「Arbitrary Struct Hijack in Aptos Move VM」を7月4日に公開した。

Move VMは、アプトス上でスマートコントラクトを実行する基盤となるソフトウェアだ。個別のアプリケーションごとに組み込まれるものではなく、アプトス上のスマートコントラクトが共通して利用する実行環境となる。そのため、Move VMに脆弱性が見つかった場合は、特定のアプリケーションだけでなく、その上で動作する幅広いサービスへ影響が及ぶ可能性がある。

今回報告された脆弱性は、アプトス上で動作する個別のアプリケーションではなく、Move VMランタイムに存在していたものだ。ヘクセンズによると、この問題が悪用された場合、本来アクセスできない他者の資産やデータを読み書きできる可能性があったという。

ヘクセンズは、この脆弱性が悪用された場合、アプトス上の金融サービスやインフラ全体へ影響が及ぶ可能性があると説明している。具体例として同社は、分散型金融(DeFi)のボールト(Vault)やレンディングプロトコル、ステーキングコントラクトに加え、管理者権限やクロスチェーンブリッジ、ステーブルコインの発行権限などへの影響を挙げている。

具体的には、Move VMランタイム内部で構造体(Struct)の情報を管理するキャッシュ処理に不整合が生じていたと同社は説明している。その結果、本来とは異なる構造体情報が参照され、攻撃者が他者のストレージを読み書きできる可能性が生じていたとのこと。

同社は、複数のアプトスバリデータを用いたローカル環境で概念実証(Proof of Concept:PoC)を実施したという。同社によると、通常のネットワークトラフィックを再現した環境で約20回のテストを行った結果、約9割のケースでボールトの残高を変更できたとのこと。一方、チェーン停止やコンセンサスの分岐、状態フォークは確認されなかったと報告している。

またヘクセンズは、この脆弱性を2026年2月25日に緊急セキュリティ連絡経路を通じて報告したという。同社によると、4つの主要な下流プロジェクトにも予防的な通知を行い、2月27日には修正内容を含む公開プルリクエストが利用可能になったとのこと。あわせて、概念実証用リポジトリ「aptos-struct-hijack-exploit」も公開している。

一方、暗号資産(仮想通貨)メディア「コインデスク(CoinDesk)」によると、アプトス側はバグ報奨金プログラムを通じて2月25日に報告を受けた後、数時間以内に修正を開発・テストし、メインネットへ展開したと説明している。また、利用者や資金への影響は確認されておらず、実環境で悪用される可能性は極めて低かったとの見解を示した。

なお、公開時点で実際の悪用や資金被害は確認されていない。一方、ヘクセンズは、この脆弱性がMove VMの実行レイヤーに存在していたことから、理論上はステーブルコインやクロスチェーンブリッジなどを含む大規模な資産へ影響する可能性があったとしている。

参考:ヘクセンズGitHubコインデスク
画像:PIXTA

関連ニュース

関連するキーワード

この記事の著者・インタビューイ

渡邉洋輔

「あたらしい経済」編集部 記者
ブロックチェーンおよびデジタル資産分野を専門とし情報発信を行っている。オンチェーンデータや流動性構造など、市場設計の観点からのリサーチにも取り組んでいる。

「あたらしい経済」編集部 記者
ブロックチェーンおよびデジタル資産分野を専門とし情報発信を行っている。オンチェーンデータや流動性構造など、市場設計の観点からのリサーチにも取り組んでいる。

合わせて読みたい記事

【7/3話題】セキュリタイズが上場初日に自社株をトークン化、メタプラがビットコイン追加購入、ソラナが新提案制度「SGPs」導入など(音声ニュース)

ブロックチェーン・仮想通貨(暗号資産)・フィンテックについてのニュース解説を「あたらしい経済」編集部が、平日毎日ポッドキャストでお届けします。Apple Podcast、Spotify、Voicyなどで配信中。ぜひとも各サービスでチャンネルをフォロー(購読登録)して、日々の情報収集にお役立てください。