3,000ドルのサーバーと数日間の作業で、700億ドル規模のブロックチェーンを危機に陥れることができた。セキュリティ企業Hexensが2026年7月4日に公開した脆弱性報告は、単一プロジェクトにとどまらない教訓を業界全体に突きつけている。
まず好ましいニュースを伝えると、資金流出はゼロだった。しかし不都合な事実もある。結末が変わるためには、驚くほど少ない条件しか必要なかったという点だ。
Aptosで何が起きたのか
セキュリティ企業Hexensの共同創業者兼CTOであるVahe Karapetyanが率いるチームは、Aptosのすべてのスマートコントラクトを実行するエンジンであるMove VMに重大な欠陥を発見した。いわゆる「ステール・キャッシュ・バグ」が型の混乱を引き起こすもので、簡単に言えば、システムがあるオンチェーンリソースをまったく別のものとして扱うよう騙される可能性があった。
この欠陥が危険な理由は、Moveというプログラミング言語の仕組みに関係している。ステーブルコインの発行権限、ブリッジの管理権、レンディングマーケットの運営権といったプロトコルのパーミッションは、オンチェーンリソースとして保存されている。それらを操作できれば、そのまま権限ごと乗っ取れることを意味する。この欠陥はバグバウンティプログラムを通じて2月25日に報告され、数時間以内に修正された後、7月4日に初めて公開された。テストでは、3,000ドルの機材を使い、特権的なアクセス権なしで90%以上の確率で攻撃が成功している。
なぜ重要か:何が起こりうるか
リスクはウォレット内のトークンではなく、各ネットワークをつなぐ「配管」にあった。独立して概念実証を検証したGrego AIは、Aptos単体で直接リスクにさらされた価値を約2億5,000万ドルと推計している。しかしLayerZero、Wormhole、USDCプロトコルなどのクロスチェーンブリッジを経由した場合、一次的なシステミックリスクの推計は700億ドルにまで達する。
ここにユーザーが理解すべき核心がある。あるブロックチェーンが侵害されたとき、その影響は被害を受けたチェーンだけでは止まらない。他のネットワークへのブリッジ経由でアクセスできる価値の大きさが、ローカルな問題を業界全体の危機へと変えうるのだ。
考えさせられる非対称性
出典: Hexens、Grego AI、CoinDesk、2026年7月
- シミュレーション攻撃のコスト: 約3,000ドル
- Aptosのバグバウンティ上限: 100万ドル
- 推計システミックリスク: 最大700億ドル
この不均衡こそが、業界全体のセキュリティが少数の研究者の倫理的選択に依存している理由を物語っている。
「設計上安全」という神話の終わり
実は、ここには皮肉がある。Moveというプログラミング言語は、もともとMetaのDiemプロジェクトからセキュリティを根本原則として生まれた。パーミッションをリソースとして保存するのも、改ざんを難しくするためだ。それでも、その実行エンジンに重大な欠陥が潜んでいた。
開発者への教訓は明確だ。VM層の脆弱性は、個々のアプリケーションのセキュリティより下の層に位置する。どれほど精巧に書いたスマートコントラクトも、そのコントラクトを実行する基盤レイヤーが脆弱であれば、その精巧さは保護にならない。どれほど現代的なアーキテクチャも、免疫を持つわけではない。
不都合な教訓:セキュリティの経済学は壊れている
しかし最も根深い問題は経済的なものだ。数百億ドル規模のリスク領域を守るバグバウンティの上限が、わずか100万ドルだった。その脆弱性をブラックマーケットでより高額で売ることもできた研究者が、代わりにメールを一通送ることを選んだ。この業界のセキュリティの大部分は今日、その選択の上に成り立っている。
Aptosは実際の環境での悪用可能性は「きわめて低い」と主張し、実用上の深刻度に異議を唱えている。しかしPolygonのCTO、Mudit Guptaが独自にエクスプロイトを実行し、それが機能することを確認した。資金力が豊富で処理速度の速いネットワークですらこれほど脆弱であることが明らかになった今、ブロックチェーンは「侵害不可能」という語りは過去のものにするべきだ。評価基準も変わる。毎秒何件のトランザクションを処理できるかを誇ることから、異常を検知した瞬間に送金を凍結する自動遮断機構がいかに速く機能するかという問いへ、だ。
資金流出がなかったことは称えられるべきだ。しかしその功績はバグバウンティと迅速なパッチにあり、運ではない。次にあるネットワークが「侵害不可能」と称するとき、その境界線がいかに薄かったかを思い出す価値がある。アプリだけでなく、基盤レイヤーのセキュリティとインセンティブ設計に目を向けることが、FSA(金融庁)が暗号資産交換業者に求めるシステムリスク管理の観点からも不可欠になりつつある。詳細はAptos FoundationとHexensの公式サイトで確認できる。
