
2026年7月4日、Hexensというセキュリティ企業が発表したところによると、Aptos Move仮想マシンに存在していた型混同バグによって、理論上700億ドル相当の資産が攻撃者の手に渡るリスクがあったことが判明しました。研究者たちは、3000ドルのサーバー上でAptosの環境をシミュレートし、約90%の成功率でこのエクスプロイトを再現し、2月末にAptosチームへ報告しました。Aptosは本番環境が影響を受ける前にパッチを適用し、資金の損失はありませんでした。
この金額は、Move系資産を保有するユーザーにとって安全性を再確認するに値するものです。AptosとSuiはいずれも、Meta社のDiemプロジェクトから派生した同じプログラミング言語を使用しており、MovementやSeiも同系統に属します。1つのバグでAptosの700億ドルが危険に晒される可能性があったことから、Move基盤全体の安全性に疑問が生じます。
この記事では、実際の脆弱性の内容、その影響範囲、主要なMoveチェーン2つのリスクプロファイルの違い、そしてAPTやSUI保有において今回の事案が意味することを解説します。
$70Bバグの実態
Hexensは、この問題を型混同を引き起こすスタイルキャッシュバグと説明しています。これは、仮想マシンが一部のオンチェーンリソースを別のリソースであるかのように誤認する状態です。資産の所有権や権限を厳格に定義するMove言語において、型の混同は重大な問題であり、不正な権限付与を招きます。
700億ドルという数値は、ひとつのコントラクトに存在する金額ではなく、攻撃者が偽造権限を用いて理論上到達できた全範囲の価値を合計したリスク推定値です。これにはブリッジやクロスチェーンメッセージング、ステーブルコイン管理フロー、チェーンと繋がる中央集権型プラットフォームの資産も含まれます。LayerZero、Wormhole、USDCのクロスチェーントランスファーシステムなど、基盤インフラの権限も影響範囲に含まれていました。
この事案が大きな損失につながらなかった理由は2つあります。1つは、バグが非公開で報告され、修正が一般公開前に完了したこと。もう1つは、エクスプロイトが実際の本番ネットワーク上ではなく、ラボ環境でのみ再現されたことです。重要なのは、国家レベルの予算ではなく、3000ドルのサーバーとMove VMの深い理解によって発見された点です。
Moveとは?どのブロックチェーンが利用しているか
Moveは、MetaのDiem(中止されたステーブルコイン)プロジェクトのエンジニアチームが設計したリソース指向型プログラミング言語です。デジタル資産を「コピー不可・消去不可・移転のみ可」というリソースとして扱うことで、従来のスマートコントラクトプラットフォームで発生していたバグの多くを排除できます。
Moveは1つのチェーンというより、「共通の設計図」を基に複数チームが独自チェーンを構築したイメージです。
- Aptosはアカウントベース型のデータモデルとBlock-STMという並列実行エンジンを導入。
- Suiは個々のオブジェクト中心のモデルに書き換え、独自のSui Moveと仮想マシンで稼働しています。
- Movement(MOVE)はEthereum互換を目指すMove系ネットワーク。
- Seiは独自の並列設計を持つ周辺プロジェクトです。
ここで重要なのは、「Move言語」と「各チームの実装」は別物であり、700億ドルバグの見出しはこの違いを曖昧にしている点です。言語は型や所有、アクセスルールを定義しますが、実際にそれを実行時に保証するのは仮想マシンであり、バグはAptosの実装部分に限られていました。
このバグはSuiも影響を受けたのか?
これは、Aptos固有の問題かMove全体の問題かを分ける重要な問いですが、実際にはAptos限定の問題でした。スタイルキャッシュバグはAptos Move VM固有のもので、Aptosチーム独自のキャッシュ処理経路に存在していました。Suiはこのコードを共有していません。
SuiはMysten Labsが独自に開発した仮想マシン上でSui Moveを実行しており、所有モデルもオブジェクト中心でAptosとは根本的に異なります。そのため、AptosのキャッシュバグがSuiに波及することはありませんでした。MovementやSeiも同様に影響はありませんでした。
この点から、Move言語自体の型システムが脆弱という証拠ではなく、あくまで実装のミスであったことが分かります。高速な実行環境で発生しうるバグであり、Move系チェーン全体が不安定というわけではありません。各チェーンのリスクは各チームの開発・監査・情報開示体制に依存します。
AptosとSui:2つのMoveチェーンのリスクプロファイル比較
両チェーンは同じDiem出身ですが、現在は大きく異なる特徴を持っています。Aptosはステーブルコインやエンタープライズ領域で先行し、SuiはDeFi TVL(総預かり資産)でより深いオンチェーン経済圏を築いています。以下の比較表をご覧ください。
| 項目 | Aptos (APT) | Sui (SUI) |
|---|---|---|
| 開始・チーム | 2022年メインネット、Aptos Labs(元Meta Diem) | 2023年メインネット、Mysten Labs(元Meta Diem) |
| データモデル | アカウントベース型 | オブジェクト中心型 |
| Move方言 | Core Move | Sui Move(独自VM) |
| コンセンサス | Aptos BFT + Block-STM | Mysticeti、サブセカンドファイナリティ |
| ステーブルコイン時価総額 | Move系トップ、約16億ドル | 約7億ドル |
| DeFi TVL | ピーク時約10億ドル | ピーク時約26億ドル |
| 7月バグへの曝露 | パッチ適用済み、資金損失なし | 影響なし |
どちらが「より安全」とは一概に言えません。Aptosは今回のセキュリティ事案を迅速なパッチと資金無傷で乗り越えた点が評価できます。Suiは別実装のため本件バグを回避しましたが、独自コードの監査実績はAptosより浅い部分もあり、DeFi TVLが大きいため万一の際の影響も大きくなります。
APTやSUI保有者への影響
実用的な結論は、見出しほどの緊急性はありません。重大バグはセキュリティ研究者により発見・適切に報告・修正され、資金損失は発生しませんでした。こうしたプロセスが機能している事例と言えます。逆に注意が必要なのは、攻撃者がバグを先に発見し、資産損失という形で初めて公になるケースです。
この事案は、これら新興・高性能チェーンが依然として攻撃サーフェス(潜在リスク)が広く、調査が続いている段階であることも示しています。3000ドルのサーバーでも深刻なリスクが発見できたことから、今後もMove系チェーン(AptosやSui含む)で新たなバグが発見される可能性はゼロではありません。したがって、Move系資産の回避ではなく、ビットコインのような長寿チェーンよりもインフラリスクが高い現実を踏まえ、バグバウンティや公開監査履歴の有無を意識しながら資産管理することが重要です。DeFiハックやブリッジエクスプロイトの詳細は、DeFi分散型金融初心者向け入門編もご参照ください。
短期トレーダーの場合、本件では資金流出も強制清算もなく、価格へ直結するイベントはありませんでした。むしろ公表=リスク管理体制の一例として市場は冷静でした。
よくある質問
SuiはAptosのバグの影響を受けましたか?
いいえ。型混同バグはAptos Move VM特有のもので、Suiはこのコードを利用していません。SuiはMysten Labs開発の独自VM上のSui Moveで稼働しており、影響は一切ありませんでした。
700億ドルという数字は、実際にそれだけ盗まれるリスクを示していますか?
直接的な意味ではありません。偽造権限で理論上アクセス可能だった全資産の合計を示すリスク推計値です。実際にはAptosが本件を事前にパッチ適用したため、損失はゼロでした。
Move言語自体の安全性に問題はありませんか?
今回のバグは一部実装のキャッシュ処理ミスであり、Move言語の型システム自体の不備ではありません。Moveは資産の複製バグ防止に有効な設計ですが、どんな言語でも実装バグからは完全に無縁ではありません。
この件でAPTやSUIを売却すべきでしょうか?
本件に起因する流出やリスクはなく、バグも修正済みです。Move系チェーンは新興であるためインフラリスクを踏まえた適切なポジション管理、バグバウンティや公開監査の有無を確認することが推奨されます。
まとめ
700億ドルという数字は、回避されたリスクを表します。HexensはAptos VMの重大バグを発見し、Aptosは2月末に非公開で修正、本番環境の資産は常に安全でした。Sui、Movement、Seiはいずれも別実装のため影響を受けていません。今後もAptosの事後分析や他Move系チェーンの追加監査が期待されます。若く高性能なチェーンでは、比較的低コストの検証でも大きなリスクが発見され得るため、Move資産の管理やバグバウンティの活用が重要です。
本記事は情報提供を目的としたものであり、投資助言を構成するものではありません。暗号資産取引にはリスクが伴います。トレードの判断は必ずご自身でご検討ください。
