
約3,000ドルでレンタルできるサーバーが、700億ドル相当のデジタル資産の安全性に影響を与えうることが判明しました。2026年2月下旬、セキュリティ企業Hexensの研究者は、そのサーバーを用いてAptosのバリデータネットワークの約3分の1を模擬し、Aptosブロックチェーンのコアとなる信頼性の前提を、約20回中17〜18回破ることに成功しました。バリデータキーや内部アクセス、特別な許可は不要で、一般的なハードウェアと、Aptos Move仮想マシンに深く潜むバグのみが利用されました。
この脆弱性は緊急経路を通じて報告され、数日以内に修正され、損失は発生しませんでした。しかし、Hexens社が推定したシステミックリスクが約700億ドルであったことが注目され、Aptosのみならず、ブリッジやクロスチェーンメッセージング、ステーブルコインのミント権限、中央集権型取引所の残高にも影響が及ぶ可能性が明らかになりました。
本記事では、実際に発生したこと、リスク評価が高額になった理由、損失が発生する前に発見・修正された経緯、そしてAPTを保有する方やMoveベースのチェーンを利用する方にとって何を意味するのかを解説します。
Aptosネットワークで実際に何が起きたのか
この脆弱性は、Hexens社のCTO兼共同創業者であるVahe Karapetyan氏によって発見され、2026年2月25日にAptosのセキュリティチャネルを通じて報告されました。公開パッチは2日後の2月27日に提供され、問題確認後数時間以内にメインネットへ修正が適用されました。詳細な技術情報は約4か月以上非公開とされ、ネットワーク移行とリスクが排除された2026年7月4日頃に初めて公開されました。
この修正と公表の間隔は、重大なバグに対する標準的な対応です。全バリデータが修正を適用し終えるまで、攻撃手順を公開しないのが通例です。読者が内容を知った時点で、ライブチェーン上の攻撃経路は既に閉ざされていました。
Aptos Labsは、実際の危険性について見解を示し、同社の分析では「現実世界での悪用可能性は極めて低い」としつつも、パッチ適用の必要性は認めています。一方でHexens社は異なる見解を持ち、そのシミュレーション結果が本件の重要性を示しています。
バグの仕組み(平易な解説)
全てのスマートコントラクトチェーンは、毎秒何百万回も「このデータは何の種類で、何ができるか?」という問いに答える必要があります。Aptosでは、その判断をMove仮想マシン(VM)が担っています。Moveは特定の盗難リスクを構造的に排除できる言語として高く評価されています。
今回のバグは、VMの型情報キャッシュの仕組みに存在しました。特定のタイミングで「古いキャッシュ」が利用されてしまい、実際の型が変化しても以前の応答を使い続けてしまう状況が生まれました。これが「型混同(Type-confusion)」エラーを招き、あるオンチェーンリソースを全く別のリソースとして扱うことができてしまいます。
たとえば、クロークルームの安価なジャケットの引換券を、後で金庫室の引換券として読み取ってしまうようなものです。ブロックチェーンにおいて「権限」は多くの場合オンチェーンリソースとして保存されます。ミント権限、ブリッジ制御権限、レンディングマーケットの管理者キーなどです。VMが誤って価値のないオブジェクトを権限オブジェクトとして認識してしまえば、攻撃者は本来与えられることのない権限を持つことになります。
3,000ドルのサーバーが重要だった理由は、一部のタイミング制約が、トランザクション処理を担うバリデータの一定割合をコントロールすることで初めて安定して成立するからです。ネットワークの約3分の1を模擬することで、条件を揃えることができ、研究者たちは90%以上の高確率で成功しました。これは偶然ではなく、再現性のある攻撃手法でした。
なぜリスク額が700億ドルに膨らんだのか
実際にAptos上にある価値は、見出しの額よりはるかに小さいです。Aptosプロトコルにロックされていた直接的な資産は約2億5,000万ドルで、700億ドルと比べればごく一部です。大きなリスク額は、偽造された権限オブジェクトが到達できる範囲全体を考慮したものです。
型混同バグで得たミント権限は、チェーンの境界を超えて影響します。現代の暗号資産インフラは、ブリッジやクロスチェーンメッセージ、ステーブルコインなどで密接に連携しており、あるチェーンで確からしく見せた虚偽の情報が、他の多くのチェーン・システムに信用される可能性があります。Hexens社はAptosの状態を信頼するシステム全体への一次的な影響範囲を評価し、合計で約700億ドルに上ると見積もりました。
| リスクレイヤー | バグが到達可能な範囲 | 重要性 |
|---|---|---|
| Aptosネイティブ資産 | 約2億5,000万ドルがオンチェーンに存在 | Aptos自体に直接関わる資金 |
| クロスチェーンブリッジ | ブリッジコントラクトにロックされた資産 | 偽造リソースで本来出せない資産を解放可能 |
| ステーブルコインミント権限 | Circle社のクロスチェーンプロトコル経由のUSDC発行 | 偽造権限で新規トークンが発行可能 |
| 取引所残高 | Aptosからの送金で計上された入金 | 偽の送金でも正規の入金として処理される |
| クロスチェーンメッセージング | ネットワーク間で交換される状態情報 | 一つの虚偽が他ネットワークにも伝播する |
特にリスクが高いのはステーブルコインの発行です。USDCはCircleのクロスチェーントランスファープロトコルを通じて複数チェーン間で発行・移動が可能ですが、各ネットワーク上の認証情報を信用しています。攻撃者がミント権限を偽造できれば、裏付け資産のない新規発行ステーブルコインをエコシステム全体に流通させることも理論的には可能です。これは、2026年の主要ブリッジハッキング事例とも類似し、小規模なバグがシステム全体リスクに転化しうる仕組みです。
なぜ誰も損失を出さずに発見・修正できたのか
これはAPT保有者にとって安心材料となる部分です。バグは報奨金制度を利用したセキュリティ企業によって発見され、責任ある開示ルートで報告され、悪意のある第三者に利用される前に修正されました。システムは意図通りに機能しました。
| 日付 | イベント |
|---|---|
| 2026年2月25日 | HexensがAptosセキュリティチャネル経由で脆弱性を報告 |
| 2026年2月27日 | 公開パッチ用リクエストが利用可能に |
| 2026年2月下旬 | 修正がメインネットに適用され、バリデータが移行 |
| 2026年7月4日 | リスク完全解消後に詳細が公開される |
発見が実現した理由は2つあります。1つは、Hexensのような実力ある企業を引き付ける報奨金プログラムの存在です。研究者が脆弱性をダークウェブで売却せず、正規の手順で報告する動機付けがありました。もう1つは、Moveの厳格な型システムがバグの特定と修正を速やかに可能にした点です。
また、たった一人の研究者でも、90%超の成功率でシミュレーションに成功した事実は警戒すべき点です。善意の研究者ができたことは、悪意の攻撃者にも可能だったということです。今回の防衛策は「攻撃が困難だった」からではなく、「Hexens社が先に発見し、適切に報告した」ことによります。
APT保有者・Moveチェーン利用者への影響
2026年7月初旬時点でAPTはおよそ0.63ドルで取引されており、脆弱性の公表時点では既に危険性が排除されていたため、価格への目立った影響はありませんでした。資金流出やプロトコルの債務超過、ブリッジの凍結などは発生していません。事実としては、既に修正済みのバグであり、緊急事態ではありません。
今後は、新興の高性能チェーン全般に対するリスク認識が重要です。AptosやMoveベースの姉妹ネットワークは高速かつ優れた設計ですが、従来型DeFiで多発したリスクの一部を構造的に排除できる一方、「絶対安全」ではありません。Moveの仮想マシンは、[Ethereum]イーサリアムのように長年攻撃され続けた環境と比べ、十分な年数の検証がなされていない点にも留意が必要です。
トレーダーの実務的な観点では、パニックではなく、ポジション管理とリスク認識が重要です。APTは高リスク資産に分類され、クロスチェーンリスクゆえに1つのトークンに限定されたリスクではありません。もしステーブルコインやクロスチェーンレンディングマーケットを利用している場合、間接的にMove-VM関連リスクを持つ点も理解しておく必要があります。重要なのはチェーンを避けることではなく、自身の資産セキュリティが他ネットワークのコードにも依存しうる現実を認識することです。
よくある質問
現在Aptosは安全ですか?
今回の脆弱性は2026年2月末に修正され、資金流出もありませんでした。この経路による攻撃は既に不可能です。絶対的な安全が証明されたブロックチェーンは存在しませんが、既知の事実から言えば、重大なバグが善意の研究者によって発見・修正されたことで、以前より安全性は高まったと評価できます。
型混同脆弱性とは?
ソフトウェアがデータを誤った種類として扱うバグです。例えば、クロークルームの引換券を銀行金庫室の引換券と誤認するようなものです。ブロックチェーン上では、攻撃者が本来権限を持たないリソースを利用できる危険なバグです。
Aptos Move VMのバグで実際に資金流出はありましたか?
資金流出は一切ありませんでした。2026年2月25日にHexensが緊急経路で報告し、数日以内に修正、7月4日まで公表を遅らせることでパッチ前に悪用されるリスクを防ぎました。
Suiなど他のMoveブロックチェーンも影響を受けますか?
このバグはAptosのMove仮想マシン実装固有のものであり、全てのMoveチェーンに共通するものではありません。ただしMove言語を共有するネットワークは、広義のリスク面も共有するため、それぞれ独自のVMセキュリティ対策に注視することが必要です。
まとめ
注目すべきは700億ドルという額ではなく、特権アクセスなし・3,000ドルサーバー1台でも90%超の成功率で攻撃が可能だった事実です。現実とプロモーションの差は、報奨金による外部検証と迅速な情報開示によって埋めることができます。Aptosが次回のバグバウンティやVM監査をどう扱うかは、長期的な信頼性の指標となるでしょう。APT価格が下落せず、エコシステムがセキュリティを強化できれば、今回の公表は信頼性向上につながります。
本記事は情報提供のみを目的としたものであり、金融または投資の助言を行うものではありません。暗号資産の取引には大きなリスクが伴います。必ずご自身でも調査のうえ意思決定を行ってください。






