一台 3000 美元服务器,差点引爆 700 亿美元加密灾难
一台价值 3000 美元的服务器就足以让一位区块链安全研究人员模拟出一条攻击路径,他们表示这条路径可能会使价值高达 700 亿美元的加密基础设施面临风险。
本次漏洞事件的主角是基于 Move 语言的公链 Aptos,Move 源自 Meta 搁置的 Diem 稳定币项目。
2 月下旬,安全公司 Hexens 研究人员向 Aptos 开发团队上报了 Aptos Move 虚拟机的高危漏洞,该虚拟机负责链上智能合约执行。漏洞本质为缓存失效引发类型混淆缺陷:攻击者可通过篡改缓存,欺骗系统将一类链上资源识别为另一类资源。
Aptos 团队收到漏洞报告后已完成全网补丁部署,全程未发生任何用户资产被盗事件。
Aptos 一位发言人向 CoinDesk 回应:「2 月 25 日我们通过漏洞赏金计划收到该潜在风险上报,当时内部已同步开展漏洞排查。团队在漏洞确认后数小时内完成修复、测试并部署至主网,全程无用户、资金受到损害。」 但官方同时对漏洞的实际可利用程度提出异议,称经内部分析,该漏洞在真实线上环境中几乎难以实施攻击。 不过安全团队披露的漏洞细节,揭示整个加密行业曾险些遭遇足以改写行业格局的重大安全灾难。
该漏洞之所以风险极高,根源在于 Move 语言的权限存储机制:铸币权限、跨链桥管理权、借贷市场管理员等核心协议权限均直接以链上资源形式存储。一旦这类权限资源被攻破,风险不会局限于单一协议,所有依赖该权限的应用都会连带沦陷。
Hexens 研究人员给出通俗类比:该漏洞的危害等同于以太坊系公链出现高危缺陷,攻击者合约可绕过类型安全机制,直接写入、篡改其他智能合约的存储数据 —— 而类型安全正是 Move 语言设计之初的核心防护屏障。
Polygon 首席技术官 Mudit Gupta 独立核验了漏洞验证演示包,确认攻击流程真实可行:「整套攻击逻辑完全成立,演示复现成功,主网环境下攻击所需前置条件均可满足。」 安全机构 Grego AI 也独立复现了该漏洞,其测算数据显示,仅 Aptos 主网原生锁仓资产中就有约 2.5 亿美元直接暴露在风险下,这还不包括更广泛的跨链风险。
700 亿美元的风险
该漏洞由 Hexens 联合创始人兼 CTO Vahe Karapetyan 发现。如果未及时修复,漏洞可能会打通跨链桥、稳定币、各类 DeFi 协议、中心化交易所全链路风险敞口,引发千亿级资产损失,酿成全行业危机。
整套攻击环境搭建仅需一台 3000 美元服务器,恶意黑客实施攻击甚至无需完整模拟集群,成本仅数百美元,且无需控制验证节点、掌握内部信息或获取协议高级权限。
该研究团队在仿真主网环境中开展约 20 轮攻击模拟,成功了 17 到 18 次。剩余 2 至 3 次失败不会造成网络停机,攻击者可反复重试直至攻破。仿真集群复刻真实主网完整环境:搭建 30 余个验证节点、还原真实质押分布、复刻日常交易流量与区块拥堵场景。该团队还采用无攻击预校准技术,在正式发起攻击前测算内存池、区块打包运行状态,大幅降低攻击随机性带来的不确定性,大幅提升实战成功率。
Hexens 基于公开链上数据测算,仅 Aptos 原生 DeFi、代币化资产、稳定币、流动质押协议直接风险敞口就达数十亿美元。
而公链底层漏洞的风险从来不会局限单条公链。综合跨链桥、跨链通信协议、稳定币发行链路、中心化交易所等敞口,整体系统性风险规模预估高达 700 亿美元。 Grego AI 首席执行官 Justus Hanna 表示,攻击者可借助该漏洞夺取 LayerZero、Wormhole、跨链传输协议 CCTP 等主流跨基础设施核心管理权限,理论上能清空所有关联锁仓资金。
本次仿真测试足以证明,公链底层隐藏漏洞能带来毁灭性行业风险。
如果黑客利用该漏洞发动真实攻击,损失规模将远超去年 Bybit 交易所 15 亿美元被盗事件。就在 6 月,Zcash 因隐私池潜藏四年的高危漏洞暴跌 38%,该漏洞允许攻击者无限铸造伪造代币且难以被察觉;在此之前,多起十亿级跨链桥、智能合约盗币事件已持续动摇市场对基础设施的信心。
700 亿美元风险测算基于攻击者批量铸造 USDC、借助 Circle CCTP 跨至多条公链的极端情景。理论上如果事件爆发,Circle 大概率会暂停 USDC 转账,但 Circle 此前曾表态不会在无司法授权下冻结用户资产,存在执行不确定性。即便相关平台紧急风控拦截,此次漏洞冲击也会重创整个加密市场。
研究团队通过验证演示证实,漏洞可夺取跨链体系顶层管理权限,包含铸币主控权限、签名权限、协议账务控制权。他们完整复现主控权限接管流程,未实际铸造代币,但清晰证明该风险必须纳入安全威胁模型。漏洞最主要传导路径为 Aptos 与中心化交易所对接的跨链通道,攻击者可借此篡改交易所用户充值记账数据。
回应和披露
在 Hexens 提交报告的同一天,一个名为「SEAL911」的紧急应对小组成立,负责协调应对措施。应对小组成立数小时后,项目方收到漏洞完整通报。当日下午四大下游核心项目同步收到漏洞演示文件与权限风险分析。
2 月 27 官方代码库公开修复提交记录,Aptos 表示验证节点私有补丁已在公开代码上线前部署完成。与此同时,Hexens 称至今未收到 Aptos 方面具备数据支撑的技术反驳,对方仅提出攻击存在概率性门槛。
虽然没有资金被盗,但模拟结果表明,在区块链层面的攻击中,流量限制、发卡机构冻结、跨链管控、交易所监控和验证器补丁并非次要的安全措施。它们直接决定漏洞是局部小事故还是全行业系统性崩。











