Aptos Move虚拟机现stale cache漏洞:3000美元攻击成本与700亿美元系统性风险解读
Hexens发现Aptos区块链Move虚拟机存在stale cache类型混淆漏洞,3000美元攻击成本、近90%成功率,可威胁LayerZero等跨链协议权限,系统性风险敞口或达700亿美元。团队已修复,暂无资金受损。
- Aptos
- Move虚拟机
- stale cache漏洞
- Hexens
- 跨链协议
区块链安全公司Hexens研究人员在Aptos区块链的Move虚拟机中发现一处stale cache(缓存失效)类型混淆漏洞。攻击者无需具备验证者权限或内部信息,仅需约3000美元的服务器成本,即可在模拟环境下发动攻击,成功率接近90%。
在模拟测试中,研究人员共进行了约20次攻击,其中17至18次成功执行,并验证了攻击者可能获得LayerZero、Wormhole以及USDC CCTP等跨链协议管理权限的风险。
漏洞影响范围与资产风险敞口
Hexens评估指出,该漏洞直接威胁Aptos链上的DeFi、稳定币及流动性质押协议,涉及低十亿美元级别的链上资产。若风险通过跨链桥、稳定币铸造及中心化交易所进一步扩散,系统性风险敞口最高可达700亿美元。
修复进展与风险关注点
Aptos团队于2月25日收到漏洞报告后,在数小时内完成修复并部署至主网。截至目前,尚无用户资金因此受损。由于模拟攻击已验证可触及LayerZero、Wormhole等跨链协议管理权限,相关协议的权限配置与风险隔离机制仍值得持续关注。