文章作者:Oliver Knight 文章编译:Chopper,Foresight News 一台价值 3000 美元的服务器就足以让一位区块链安全研究人员模拟出一条攻击路径,他们表示这条路径可能会使价值高达 700 亿美元的加密基础设施面临风险。 本次漏洞事件的主角是基于 Move 语言的公链 Aptos,Move文章作者:Oliver Knight 文章编译:Chopper,Foresight News 一台价值 3000 美元的服务器就足以让一位区块链安全研究人员模拟出一条攻击路径,他们表示这条路径可能会使价值高达 700 亿美元的加密基础设施面临风险。 本次漏洞事件的主角是基于 Move 语言的公链 Aptos,Move

一台 3000 美元服务器,差点引爆 700 亿美元加密灾难

2026/07/06 16:24
阅读时长 10 分钟
如需对本内容提供反馈或相关疑问,请通过邮箱 crypto.news@mexc.com 联系我们。

文章作者:Oliver Knight

文章编译:Chopper,Foresight News

一台价值 3000 美元的服务器就足以让一位区块链安全研究人员模拟出一条攻击路径,他们表示这条路径可能会使价值高达 700 亿美元的加密基础设施面临风险。

本次漏洞事件的主角是基于 Move 语言的公链 Aptos,Move 源自 Meta 搁置的 Diem 稳定币项目。

2 月下旬,安全公司 Hexens 研究人员向 Aptos 开发团队上报了 Aptos Move 虚拟机的高危漏洞,该虚拟机负责链上智能合约执行。漏洞本质为缓存失效引发类型混淆缺陷:攻击者可通过篡改缓存,欺骗系统将一类链上资源识别为另一类资源。

Aptos 团队收到漏洞报告后已完成全网补丁部署,全程未发生任何用户资产被盗事件。

Aptos 一位发言人向 CoinDesk 回应:「2 月 25 日我们通过漏洞赏金计划收到该潜在风险上报,当时内部已同步开展漏洞排查。团队在漏洞确认后数小时内完成修复、测试并部署至主网,全程无用户、资金受到损害。」 但官方同时对漏洞的实际可利用程度提出异议,称经内部分析,该漏洞在真实线上环境中几乎难以实施攻击。 不过安全团队披露的漏洞细节,揭示整个加密行业曾险些遭遇足以改写行业格局的重大安全灾难。

该漏洞之所以风险极高,根源在于 Move 语言的权限存储机制:铸币权限、跨链桥管理权、借贷市场管理员等核心协议权限均直接以链上资源形式存储。一旦这类权限资源被攻破,风险不会局限于单一协议,所有依赖该权限的应用都会连带沦陷。

Hexens 研究人员给出通俗类比:该漏洞的危害等同于以太坊系公链出现高危缺陷,攻击者合约可绕过类型安全机制,直接写入、篡改其他智能合约的存储数据 —— 而类型安全正是 Move 语言设计之初的核心防护屏障。

Polygon 首席技术官 Mudit Gupta 独立核验了漏洞验证演示包,确认攻击流程真实可行:「整套攻击逻辑完全成立,演示复现成功,主网环境下攻击所需前置条件均可满足。」 安全机构 Grego AI 也独立复现了该漏洞,其测算数据显示,仅 Aptos 主网原生锁仓资产中就有约 2.5 亿美元直接暴露在风险下,这还不包括更广泛的跨链风险。

700 亿美元的风险

该漏洞由 Hexens 联合创始人兼 CTO Vahe Karapetyan 发现。如果未及时修复,漏洞可能会打通跨链桥、稳定币、各类 DeFi 协议、中心化交易所全链路风险敞口,引发千亿级资产损失,酿成全行业危机。

整套攻击环境搭建仅需一台 3000 美元服务器,恶意黑客实施攻击甚至无需完整模拟集群,成本仅数百美元,且无需控制验证节点、掌握内部信息或获取协议高级权限。

该研究团队在仿真主网环境中开展约 20 轮攻击模拟,成功了 17 到 18 次。剩余 2 至 3 次失败不会造成网络停机,攻击者可反复重试直至攻破。仿真集群复刻真实主网完整环境:搭建 30 余个验证节点、还原真实质押分布、复刻日常交易流量与区块拥堵场景。该团队还采用无攻击预校准技术,在正式发起攻击前测算内存池、区块打包运行状态,大幅降低攻击随机性带来的不确定性,大幅提升实战成功率。

Hexens 基于公开链上数据测算,仅 Aptos 原生 DeFi、代币化资产、稳定币、流动质押协议直接风险敞口就达数十亿美元。

而公链底层漏洞的风险从来不会局限单条公链。综合跨链桥、跨链通信协议、稳定币发行链路、中心化交易所等敞口,整体系统性风险规模预估高达 700 亿美元。 Grego AI 首席执行官 Justus Hanna 表示,攻击者可借助该漏洞夺取 LayerZero、Wormhole、跨链传输协议 CCTP 等主流跨基础设施核心管理权限,理论上能清空所有关联锁仓资金。

本次仿真测试足以证明,公链底层隐藏漏洞能带来毁灭性行业风险。

如果黑客利用该漏洞发动真实攻击,损失规模将远超去年 Bybit 交易所 15 亿美元被盗事件。就在 6 月,Zcash 因隐私池潜藏四年的高危漏洞暴跌 38%,该漏洞允许攻击者无限铸造伪造代币且难以被察觉;在此之前,多起十亿级跨链桥、智能合约盗币事件已持续动摇市场对基础设施的信心。

700 亿美元风险测算基于攻击者批量铸造 USDC、借助 Circle CCTP 跨至多条公链的极端情景。理论上如果事件爆发,Circle 大概率会暂停 USDC 转账,但 Circle 此前曾表态不会在无司法授权下冻结用户资产,存在执行不确定性。即便相关平台紧急风控拦截,此次漏洞冲击也会重创整个加密市场。

研究团队通过验证演示证实,漏洞可夺取跨链体系顶层管理权限,包含铸币主控权限、签名权限、协议账务控制权。他们完整复现主控权限接管流程,未实际铸造代币,但清晰证明该风险必须纳入安全威胁模型。漏洞最主要传导路径为 Aptos 与中心化交易所对接的跨链通道,攻击者可借此篡改交易所用户充值记账数据。

回应和披露

在 Hexens 提交报告的同一天,一个名为「SEAL911」的紧急应对小组成立,负责协调应对措施。应对小组成立数小时后,项目方收到漏洞完整通报。当日下午四大下游核心项目同步收到漏洞演示文件与权限风险分析。

2 月 27 官方代码库公开修复提交记录,Aptos 表示验证节点私有补丁已在公开代码上线前部署完成。与此同时,Hexens 称至今未收到 Aptos 方面具备数据支撑的技术反驳,对方仅提出攻击存在概率性门槛。

虽然没有资金被盗,但模拟结果表明,在区块链层面的攻击中,流量限制、发卡机构冻结、跨链管控、交易所监控和验证器补丁并非次要的安全措施。它们直接决定漏洞是局部小事故还是全行业系统性崩。

市场机遇
Movement 图标
Movement实时价格 (MOVE)
$0.01165
$0.01165$0.01165
-1.60%
USD
Movement (MOVE) 实时价格图表

世界杯预测,一单串多场,搏200倍收益!

世界杯预测,一单串多场,搏200倍收益!世界杯预测,一单串多场,搏200倍收益!

MEXC App 6.60.0 全新升级,巴西/法国/阿根廷等最多20场组合,一键轻松下注!

免责声明: 本网站转载的文章均来源于公开平台,仅供参考。这些文章不代表 MEXC 的观点或意见。所有版权归原作者所有。如果您认为任何转载文章侵犯了第三方权利,请联系 crypto.news@mexc.com 以便将其删除。MEXC 不对转载文章的及时性、准确性或完整性作出任何陈述或保证,并且不对基于此类内容所采取的任何行动或决定承担责任。转载材料仅供参考,不构成任何商业、金融、法律和/或税务决策的建议、认可或依据。

您可能也会喜欢

降价、监管、洗牌:AI 这台印钞机,开始漏风了吗?

降价、监管、洗牌:AI 这台印钞机,开始漏风了吗?

文章作者、来源:0x9999in1,ME News TL;DR追踪真实算力支出的 Silicon Data LLM Token 消费指数,从 5 月高点回落近 20%,目前约为每百万 token 1.62 美元。这是这轮 AI 热潮里,第一个明确掉头的需求信号。 安联研究给出一个刺眼的数字:AI 投资与销售之间的
分享
MetaEra2026/07/06 17:41
踩着物理AI的风口,Momenta冲刺IPO

踩着物理AI的风口,Momenta冲刺IPO

文章作者:楷辛 文章来源:伯虎财经 物理AI,成了各个行业争相追逐的热点。 近日,英伟达CEO黄仁勋在COMPUTEX演讲中强调:“物理AI是AI的下一波浪潮” 。过去一年,马斯克、吴泳铭、李飞飞等行业巨擘纷纷聚焦这一概念,物理AI正成为业界共识。 踏入2026年,物理AI的热度更上一层楼。自动驾驶独角兽Momenta
分享
MetaEra2026/07/06 16:49
亚马逊 2026 年第二季度财报日期:预期报告时间、AWS 增长与 AI 资本支出观察名单

亚马逊 2026 年第二季度财报日期:预期报告时间、AWS 增长与 AI 资本支出观察名单

亚马逊的 2026 年第二季度财报预计将成为今年夏天最重要的云服务和 AI 基础设施更新之一。Wall Street Horizon 将亚马逊的下一个财报日期列为 2026 年 7 月 30 日(星期四)盘后(针对 2026 财年第二季度),尽管该日期目前仍标记为未确认。截至目前,亚马逊尚未发布单独的 2026 年第二季度财报活动页面,因此投资者应在临近报告发布时确认最终的网络直播详细信息。作为参考,亚马逊在太平洋时间下午 2:30 / 东部时间下午 5:30 举行了 2026 年第一季度的电话会议。 这不仅仅是又一个科技巨头的财报日。亚马逊第一季度的业绩显示,AWS 收入同比增长加速至 28%——这是 15 个季度以来的最快增速——而自由现金流却大幅下降,主要原因是与 AI 投资相关的财产和设备购买量增加。对于交易员来说,关键问题不仅在于亚马逊的营收是否超出第二季度的指引。更大的问题在于:AWS 的增长、AI 收入和云需求是否足够强劲,以证明亚马逊不断上升的 AI 资本支出(Capex)周期是合理的。
分享
MEXC NEWS2026/07/06 19:41

$5,000,000 SPCX 合约仓位免费送!

$5,000,000 SPCX 合约仓位免费送!$5,000,000 SPCX 合约仓位免费送!

0 手续费| 100x杠杆 | 每日奖励,更有7000+ 股票/ETF任你选择!