安全公司 Hexens 透露,它在 2 月份发现了 Aptos 区块链的 Move 虚拟机 (Move VM) 中的一个严重漏洞。据报道,该漏洞在披露后数小时内就得到了修复,没有造成资金损失或用户受到影响。
根据 Odaily 的报告,该漏洞源自缓存处理缺陷,该缺陷可能导致类型混淆,即系统错误解释数据类型,从而可能授予攻击者更高的权限。理论上,这种访问可能会损害高风险功能,包括稳定币铸造、跨链桥接操作和基于 Aptos 构建的 DeFi 协议。
Hexens 表示,其研究团队使用价值约 3,000 美元的服务器资源构建了一个接近主网的模拟环境。他们对该漏洞利用路径进行了大约 20 次测试,并在 17 到 18 次尝试中成功执行。
该公司估计 Aptos 原生锁定总价值 (TVL) 中大约 2.5 亿美元可能面临风险。此外,如果该漏洞影响了更广泛的基础设施(例如跨链桥、算法稳定币和中心化交易所),潜在的系统性风险可能会达到估计 700 亿美元。
Aptos 承认了该报告,但强调该漏洞在现实世界中的可利用性极低。在发生任何恶意利用之前,该问题已通过网络的错误赏金计划迅速得到解决。
