セキュリティ企業は、より高速なレイヤー1ブロックチェーンの一つであるAptosに、静かに修正されるまで数か月間、重大な欠陥が存在していたことを明らかにした。7月4日、Hexensは2月25日にAptosに非公開で報告していたバグを公表した。これはチェーンのスマートコントラクトを実行するエンジンの弱点で、同社の見積もりでは、ブリッジ、ステーブルコイン、接続された取引所全体で最大700億ドルの理論上のリスクをもたらすものだった。Aptos Labsは最初の報告から数時間以内にパッチを適用し、ユーザーの資金が影響を受けることはなかった。 ではなぜ5か月前のパッチが今ニュースになるのか? 理由は2つある。明らかに、その数字だ。しかし、その背後にある詳細も重要だ。Aptosが最も強調しているのは生の速度であり、その生の速度こそが700億ドルを単なる恐怖の見出しから擁護可能な推定値に変えている。 報道から1日後の記録的なスループットの宣伝 7月5日、報告からわずか24時間後、プロジェクトの公式アカウントは予定されていた毎月のトークノミクスアップデートを実施し、過去30日間に232,500 APTが燃焼され、1日あたり1,600万件以上のトランザクションで四半期の新記録、手数料10倍増後の平均手数料0.0005ドルを報告した。すべて「稼働中の市場とマシンのためのフルスタック」というタグラインの下でのことだ。Hexensの開示を前にすると、この投稿の読み方は全く異なる。なぜなら、Aptosが宣伝するほぼ無料のトランザクションと巨大なスループットは、セキュリティ研究者がチェーンの中核にある単一のバグが実際にどれほどのコストをもたらすかを計算する際に最初に考慮する特性とまったく同じだからだ。
Aptosのすべてのトランザクションは$APTを燃焼します。今月のアップデート:
• 過去30日間で232.5K APT燃焼 • メインネット以来の合計燃焼量1.4M APT • 1日あたり+16Mトランザクション—四半期の新記録 • 手数料10倍増以降の平均トランザクション手数料$0.0005
稼働中の市場とマシンのためのフルスタック。pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) 2026年7月5日
バグは大多数の監査がチェックするコードの下に存在していた AptosはMove上に構築されており、この種の攻撃を困難にするために特別に設計されたプログラミング言語である。Moveはトークンやその他のデジタル資産を保護されたアイテムとして扱い、トランザクション実行時に、間違ったタイプのものとして扱われていないかをチェックする。この安全性の約束は、AptosとSuiの両方がMoveを旧来の環境よりも安全だと売り込む大きな理由の一つである。 Hexensの欠陥は、その約束を正面から破るのではなく、その下をすり抜けた。簡単に言えば、システムが一時的に古い情報に基づいて動作し、ある種類のオンチェーンアイテムを別のものと誤認してしまった。セキュリティ関係者はこれを「型混乱」と呼ぶ。プログラムが何かを間違った型として読み取り、それを止めるためのチェックをすり抜けてしまう古いソフトウェア問題だ。ブロックチェーンでは、この混乱は危険である。攻撃者は悪意のあるアイテムを正当なものに偽装し、ネットワークを欺いて、誰が資産を所有し、誰がそれを移動できるかを誤認させることができる。 PolygonのCTOであるMudit Guptaは、概念実証を独立してレビューし、CoinDeskに対して、いくつかの条件が整う必要があるとの注意とともに、主張通りに動作したと語った。競合チェーンのセキュリティ責任者からの発言であるだけに、AptosやHexensが単独で言うことよりも重みがある。 低い手数料と大量の取引がなぜバグを悪化させるのか スループットはここではマーケティング用語ではなくなり、リスク倍増要因として機能し始める。Hexensは、実際のネットワークを模倣するように設定された30以上のバリデータノードのクラスターに対して、約3,000ドルのサーバーラックを使用して攻撃を実行し、バリデータセットの約3分の1を代行した。攻撃は20回中17回または18回成功し、内部アクセスや特別な権限は必要なかった。 実際の数字を加味すると、状況がより明確になる。1トランザクションあたり1セントの何分の1かで、悪意のあるペイロードでチェーンを溢れさせることはほぼ無料に近い。1日1600万トランザクション、ブロックが数秒で確定する環境では、資産を偽造できる攻撃者は、誰も反応する前に資産を作成して移動させるための短い窓しか必要としない。速度は中立である。正当な取引量を数秒で処理する同じエンジンは、偽のミント&トランスファーも同じペースで処理し、ネットワークを運営する人間はその速度に反応できない。 それが、バーンメトリクスの投稿が偶然に強調した部分である。 2つの非常に異なる数字、そしてその差がなぜ重要なのか この件から2つの数字が浮かび上がった。それらを1つとして扱うことで、話が歪められる。小さい方は約2億5000万ドルで、独立系企業Grego AIが直接リスクがあると判断したAptosのDeFiアプリに保持されている価値である。大きい方は700億ドルで、この欠陥をWormholeやLayerZeroなどのクロスチェーンブリッジ、ステーブルコインシステム、APTとそのラップされたバージョンを取引する取引所を通じて外側に追跡した場合にのみ現れる。 ブリッジは弱点である。複数のチェーンからの資産を一度にプールするため、Aptosで始まった偽造資産イベントが、最悪のモデル化されたケースでは、もともとイーサリアムから来た資金を吸い上げる可能性がある。700億ドルは、仮定の積み重ねの上に構築された最悪のケースの合計であり、一度にきれいに掴めるようにそこにあった現金ではない。
| 数値 | | --- | 何を表すか | 出典 | | --- | --- | --- | | 2.5億ドル | AptosのDeFiアプリにおける直接リスクのある価値 | Grego AI | | 700億ドル | ブリッジ、ステーブルコイン、取引所全体の最悪のシステムリスク | Hexens | | 3,000ドル | 約3分の1のバリデータをシミュレートするサーバー費用 | Hexens | | 100万ドル | Aptosバグ報奨金プログラムの最大支払い階層 | Aptosバグ報奨金プログラム |
Aptos Labsは報告自体には異議を唱えていない。バグ報奨金プログラムを通じた2月25日の通知を確認し、問題は社内ですでに取り組まれていたと述べている。異議を唱えているのは深刻度であり、実際のネットワーク状況によりエクスプロイトの実行がテスト環境が示唆するよりもはるかに困難であり、実際の悪用可能性は「極めて低い」と主張している。この主張はGuptaの独立した検証と真っ向から対立しており、両者の立場は公には調整されていない。 もう一つ指摘すべきギャップがあり、それはコードではなくインセンティブに関するものだ。報奨金の上限は100万ドルである。この種のエクスプロイトは闇市場でその何倍もの価値があるだろうが、Hexensはそれでも開示した。それが報奨金制度を運営する全体的な目的である。
| システム的脅威の見方 | | 回復力の見方 | | --- | --- | | 3,000ドルのセットアップがトップティアのレイヤー1を脅かす可能性がある | 数時間以内にパッチ適用、ネットワークの混乱なし | | 中核的なバグがMoveチェーン全体のカテゴリーリスクを示唆 | Aptosは実際の状況で悪用可能性は非常に低いと主張 | | 単一の欠陥がブリッジとステーブルコイン資産に到達する可能性 | 報奨金が販売ではなくホワイトハットの結果を導いた |
議論が続く中でのAPTチャートの動き トレーダーはほとんどこれを気にしていない。Coinbaseの4時間足Aptos/USDチャート(TradingView経由)では、APTは7月7日に0.635ドル付近で取引され、50期間移動平均線の0.6061ドルと100期間線の0.6147ドルを上回って推移し、200期間平均線の0.6410ドルをレジスタンスとして上値が重い。移動平均線とは、その数のローソク足の終値の平均に過ぎない。このレイアウトは、実質的なバウンスを示しているが、5月中旬に約1.00ドルから約0.55ドルまで押し下げた大きな下降トレンドをまだ解消していない。 買い圧力の指標であるRSI(0から100の範囲)は58.77で、中立の50を上回っているが、過熱市場を示す70には遠く及ばない。CoinMarketCapによると、APTは週間で9.91%上昇し0.6339ドルとなっており、この開示は実際の売りを引き起こすというよりは、センチメントに重くのしかかっているように見える。 このニュースサイクルを超えて残る修正 ビルダーが短期的な負担を負う。Aptos上でアプリを実行している人は誰でも、Hexensが発見したようなエッジケースを自身のコードがどのように処理するか再確認する理由があり、大口投資家はネットワークの基盤を再検討する間、APTやSUIのようなMoveベースのトークンにわずかに高いリスクプレミアムを課すかもしれない。 しかし、報道が薄れた後も残りそうなものが2つある。1つ目は報奨金の上限である。100万ドルの上限は、保護すべき価値に比べてますます小さく見え、ブラックマーケットのバイヤーと競争するプロジェクトには、それを引き上げる以外に選択肢がほとんどないかもしれない。2つ目は、研究者が実際に問う質問の変化である。長年にわたり、自慢の種はチェーンがどれだけ多くのトランザクションを処理できるかであった。この出来事は、焦点を逆のスキル、つまりネットワークがどれだけ迅速に自身を停止できるかに向けさせる。高速チェーンには、何かおかしいと感じた瞬間にクロスチェーン転送を凍結する自動「キルスイッチ」がますます必要となっている。なぜなら、人間が気付いた時には、トランザクションはすでに完了しているからである。 Aptosはまさにその実験を自ら行おうとしている。確認後にトランザクション詳細を隠す提案(これによりフロントランニングが困難になる)はすでにコミュニティ投票にかけられており、他のアップグレードはさらに高速な確認時間を追求している。これらのそれぞれは速度を追加し、危険にさらす価値を増やす。これはHexensの開示が単一のバグをシステム的なものに変え得ることを示したのと同じ組み合わせである。Moveの次のセキュリティの瞬間が安心感として読まれるか、繰り返しとして読まれるかは、1つのことに帰着する。それは、これらのアップグレードが、今回のエピソードがその必要性を主張したような組み込みのセーフガードを備えて出荷されるかどうかである。
821.54K 人気度
1.01M 人気度
69.95K 人気度
118.59K 人気度
184.19K 人気度
Aptosの脆弱性:その速度がどのように$70B Riskを拡大したか
セキュリティ企業は、より高速なレイヤー1ブロックチェーンの一つであるAptosに、静かに修正されるまで数か月間、重大な欠陥が存在していたことを明らかにした。7月4日、Hexensは2月25日にAptosに非公開で報告していたバグを公表した。これはチェーンのスマートコントラクトを実行するエンジンの弱点で、同社の見積もりでは、ブリッジ、ステーブルコイン、接続された取引所全体で最大700億ドルの理論上のリスクをもたらすものだった。Aptos Labsは最初の報告から数時間以内にパッチを適用し、ユーザーの資金が影響を受けることはなかった。 ではなぜ5か月前のパッチが今ニュースになるのか? 理由は2つある。明らかに、その数字だ。しかし、その背後にある詳細も重要だ。Aptosが最も強調しているのは生の速度であり、その生の速度こそが700億ドルを単なる恐怖の見出しから擁護可能な推定値に変えている。 報道から1日後の記録的なスループットの宣伝 7月5日、報告からわずか24時間後、プロジェクトの公式アカウントは予定されていた毎月のトークノミクスアップデートを実施し、過去30日間に232,500 APTが燃焼され、1日あたり1,600万件以上のトランザクションで四半期の新記録、手数料10倍増後の平均手数料0.0005ドルを報告した。すべて「稼働中の市場とマシンのためのフルスタック」というタグラインの下でのことだ。Hexensの開示を前にすると、この投稿の読み方は全く異なる。なぜなら、Aptosが宣伝するほぼ無料のトランザクションと巨大なスループットは、セキュリティ研究者がチェーンの中核にある単一のバグが実際にどれほどのコストをもたらすかを計算する際に最初に考慮する特性とまったく同じだからだ。
Aptosのすべてのトランザクションは$APTを燃焼します。今月のアップデート:
• 過去30日間で232.5K APT燃焼 • メインネット以来の合計燃焼量1.4M APT • 1日あたり+16Mトランザクション—四半期の新記録 • 手数料10倍増以降の平均トランザクション手数料$0.0005
稼働中の市場とマシンのためのフルスタック。pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) 2026年7月5日
バグは大多数の監査がチェックするコードの下に存在していた AptosはMove上に構築されており、この種の攻撃を困難にするために特別に設計されたプログラミング言語である。Moveはトークンやその他のデジタル資産を保護されたアイテムとして扱い、トランザクション実行時に、間違ったタイプのものとして扱われていないかをチェックする。この安全性の約束は、AptosとSuiの両方がMoveを旧来の環境よりも安全だと売り込む大きな理由の一つである。 Hexensの欠陥は、その約束を正面から破るのではなく、その下をすり抜けた。簡単に言えば、システムが一時的に古い情報に基づいて動作し、ある種類のオンチェーンアイテムを別のものと誤認してしまった。セキュリティ関係者はこれを「型混乱」と呼ぶ。プログラムが何かを間違った型として読み取り、それを止めるためのチェックをすり抜けてしまう古いソフトウェア問題だ。ブロックチェーンでは、この混乱は危険である。攻撃者は悪意のあるアイテムを正当なものに偽装し、ネットワークを欺いて、誰が資産を所有し、誰がそれを移動できるかを誤認させることができる。 PolygonのCTOであるMudit Guptaは、概念実証を独立してレビューし、CoinDeskに対して、いくつかの条件が整う必要があるとの注意とともに、主張通りに動作したと語った。競合チェーンのセキュリティ責任者からの発言であるだけに、AptosやHexensが単独で言うことよりも重みがある。 低い手数料と大量の取引がなぜバグを悪化させるのか スループットはここではマーケティング用語ではなくなり、リスク倍増要因として機能し始める。Hexensは、実際のネットワークを模倣するように設定された30以上のバリデータノードのクラスターに対して、約3,000ドルのサーバーラックを使用して攻撃を実行し、バリデータセットの約3分の1を代行した。攻撃は20回中17回または18回成功し、内部アクセスや特別な権限は必要なかった。 実際の数字を加味すると、状況がより明確になる。1トランザクションあたり1セントの何分の1かで、悪意のあるペイロードでチェーンを溢れさせることはほぼ無料に近い。1日1600万トランザクション、ブロックが数秒で確定する環境では、資産を偽造できる攻撃者は、誰も反応する前に資産を作成して移動させるための短い窓しか必要としない。速度は中立である。正当な取引量を数秒で処理する同じエンジンは、偽のミント&トランスファーも同じペースで処理し、ネットワークを運営する人間はその速度に反応できない。 それが、バーンメトリクスの投稿が偶然に強調した部分である。 2つの非常に異なる数字、そしてその差がなぜ重要なのか この件から2つの数字が浮かび上がった。それらを1つとして扱うことで、話が歪められる。小さい方は約2億5000万ドルで、独立系企業Grego AIが直接リスクがあると判断したAptosのDeFiアプリに保持されている価値である。大きい方は700億ドルで、この欠陥をWormholeやLayerZeroなどのクロスチェーンブリッジ、ステーブルコインシステム、APTとそのラップされたバージョンを取引する取引所を通じて外側に追跡した場合にのみ現れる。 ブリッジは弱点である。複数のチェーンからの資産を一度にプールするため、Aptosで始まった偽造資産イベントが、最悪のモデル化されたケースでは、もともとイーサリアムから来た資金を吸い上げる可能性がある。700億ドルは、仮定の積み重ねの上に構築された最悪のケースの合計であり、一度にきれいに掴めるようにそこにあった現金ではない。
| 数値 | | --- | 何を表すか | 出典 | | --- | --- | --- | | 2.5億ドル | AptosのDeFiアプリにおける直接リスクのある価値 | Grego AI | | 700億ドル | ブリッジ、ステーブルコイン、取引所全体の最悪のシステムリスク | Hexens | | 3,000ドル | 約3分の1のバリデータをシミュレートするサーバー費用 | Hexens | | 100万ドル | Aptosバグ報奨金プログラムの最大支払い階層 | Aptosバグ報奨金プログラム |
Aptos Labsは報告自体には異議を唱えていない。バグ報奨金プログラムを通じた2月25日の通知を確認し、問題は社内ですでに取り組まれていたと述べている。異議を唱えているのは深刻度であり、実際のネットワーク状況によりエクスプロイトの実行がテスト環境が示唆するよりもはるかに困難であり、実際の悪用可能性は「極めて低い」と主張している。この主張はGuptaの独立した検証と真っ向から対立しており、両者の立場は公には調整されていない。 もう一つ指摘すべきギャップがあり、それはコードではなくインセンティブに関するものだ。報奨金の上限は100万ドルである。この種のエクスプロイトは闇市場でその何倍もの価値があるだろうが、Hexensはそれでも開示した。それが報奨金制度を運営する全体的な目的である。
| システム的脅威の見方 | | 回復力の見方 | | --- | --- | | 3,000ドルのセットアップがトップティアのレイヤー1を脅かす可能性がある | 数時間以内にパッチ適用、ネットワークの混乱なし | | 中核的なバグがMoveチェーン全体のカテゴリーリスクを示唆 | Aptosは実際の状況で悪用可能性は非常に低いと主張 | | 単一の欠陥がブリッジとステーブルコイン資産に到達する可能性 | 報奨金が販売ではなくホワイトハットの結果を導いた |
議論が続く中でのAPTチャートの動き トレーダーはほとんどこれを気にしていない。Coinbaseの4時間足Aptos/USDチャート(TradingView経由)では、APTは7月7日に0.635ドル付近で取引され、50期間移動平均線の0.6061ドルと100期間線の0.6147ドルを上回って推移し、200期間平均線の0.6410ドルをレジスタンスとして上値が重い。移動平均線とは、その数のローソク足の終値の平均に過ぎない。このレイアウトは、実質的なバウンスを示しているが、5月中旬に約1.00ドルから約0.55ドルまで押し下げた大きな下降トレンドをまだ解消していない。
買い圧力の指標であるRSI(0から100の範囲)は58.77で、中立の50を上回っているが、過熱市場を示す70には遠く及ばない。CoinMarketCapによると、APTは週間で9.91%上昇し0.6339ドルとなっており、この開示は実際の売りを引き起こすというよりは、センチメントに重くのしかかっているように見える。
このニュースサイクルを超えて残る修正
ビルダーが短期的な負担を負う。Aptos上でアプリを実行している人は誰でも、Hexensが発見したようなエッジケースを自身のコードがどのように処理するか再確認する理由があり、大口投資家はネットワークの基盤を再検討する間、APTやSUIのようなMoveベースのトークンにわずかに高いリスクプレミアムを課すかもしれない。
しかし、報道が薄れた後も残りそうなものが2つある。1つ目は報奨金の上限である。100万ドルの上限は、保護すべき価値に比べてますます小さく見え、ブラックマーケットのバイヤーと競争するプロジェクトには、それを引き上げる以外に選択肢がほとんどないかもしれない。2つ目は、研究者が実際に問う質問の変化である。長年にわたり、自慢の種はチェーンがどれだけ多くのトランザクションを処理できるかであった。この出来事は、焦点を逆のスキル、つまりネットワークがどれだけ迅速に自身を停止できるかに向けさせる。高速チェーンには、何かおかしいと感じた瞬間にクロスチェーン転送を凍結する自動「キルスイッチ」がますます必要となっている。なぜなら、人間が気付いた時には、トランザクションはすでに完了しているからである。
Aptosはまさにその実験を自ら行おうとしている。確認後にトランザクション詳細を隠す提案(これによりフロントランニングが困難になる)はすでにコミュニティ投票にかけられており、他のアップグレードはさらに高速な確認時間を追求している。これらのそれぞれは速度を追加し、危険にさらす価値を増やす。これはHexensの開示が単一のバグをシステム的なものに変え得ることを示したのと同じ組み合わせである。Moveの次のセキュリティの瞬間が安心感として読まれるか、繰り返しとして読まれるかは、1つのことに帰着する。それは、これらのアップグレードが、今回のエピソードがその必要性を主張したような組み込みのセーフガードを備えて出荷されるかどうかである。