セキュリティ企業Hexensの研究者が、Aptosブロックチェーンにおいて最大700億ドル規模の暗号資産を危険にさらす可能性があった重大な脆弱性を特定した。問題は2月25日に報告され、数日以内に修正が完了し、資産の流出はなかった。
セキュリティ企業Hexensのホワイトハッカーチームは、AptosのMove仮想マシン内に古いキャッシュ(stale-cache)のバグを発見した。この欠陥は、Moveプログラミング言語の中核となるセキュリティ保証を回避し得る「型混同攻撃(type-confusion attack)」を可能にするものだった。
チームは、バリデーターネットワークの約3分の1を模した3,000ドルのサーバー環境を用いて攻撃をシミュレートした。メインネットのトラフィックやステーク分布に合わせた条件下で約20回のテストを実行し、90パーセント以上の成功率を記録した。
Aptos Labsは2月25日にバグ報奨金プログラムを通じて報告を受け、数時間のうちに修正プログラムの開発、テスト、メインネットへの展開を完了させた。Aptosの広報担当者は、ユーザーや資産への影響は一切なかったと述べている。
PolygonのMudit Gupta氏を含む独立した専門家らも、コンセプト実証(PoC)が報告通りに機能することを確認した。Grego AIは、Aptosネイティブの価値のうち約2億5,000万ドルが直接的なリスクにさらされていたと推定しており、クロスチェーンを含めたより広範な影響は、前述のより高いシステム的リスク額に達していた可能性があるとした。