一家安全公司揭露,Aptos(較快的 Layer 1 區塊鏈之一)存在一個嚴重漏洞長達數月,之後才被悄悄修復。7 月 4 日,Hexens 公開了其在 2 月 25 日私下向 Aptos 報告的一個漏洞,該漏洞存在於運行鏈上智能合約的引擎中,根據其自身估計,在跨鏈橋、穩定幣及相關交易所中,理論風險高達 700 億美元。Aptos Labs 在收到首次報告後的數小時內即修補了該漏洞,且沒有任何用戶資金受損。
那麼,為何一個五個月前的修補程式現在會成為新聞?有兩個原因。顯而易見的,是那個數字。但還有其背後細節:Aptos 最強力推廣的是原始速度,而原始速度正是將 700 億美元從駭人標題轉變為可辯護估計的關鍵因素。
創紀錄的吞吐量宣傳,於故事曝光後一天發布 7 月 5 日,也就是報告發布後不到 24 小時,該項目的官方帳號按計畫發布了每月代幣經濟學更新,報告顯示過去 30 天內燃燒了 232,500 APT,單日交易量超過 1600 萬筆,創下季度新高,以及交易手續費上漲十倍後的平均費用為 0.0005 美元,所有這些都伴隨著「市場與機器全棧運作」的標語。當你看到 Hexens 的揭露後,這則貼文的意義截然不同,因為 Aptos 所推廣的近乎零成本交易和巨大吞吐量,正是安全研究人員在計算鏈上核心單一漏洞實際可能造成多少損失時,首先會評估的特性。
在 Aptos 上每筆交易都會燃燒 $APT。新的月度更新:
• 過去 30 天燃燒 232.5K APT • 自主網上線以來總計燃燒 140 萬 APT • 單日交易量超過 1600 萬筆——創季度新高 • 手續費上漲十倍後,平均交易費用為 0.0005 美元
市場與機器全棧運作。pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) 2026 年 7 月 5 日
該漏洞存在於多數審計檢查的程式碼層級之下 Aptos 基於 Move 語言構建,這是一種專門為防止此類攻擊而設計的程式語言。Move 將代幣及其他數位資產視為受保護項目,並在交易執行時檢查是否有任何東西被誤用為錯誤類型。這個安全承諾是 Aptos 和 Sui 都宣稱 Move 比舊環境更安全的主要原因。
Hexens 的漏洞並非直接突破這個承諾,而是繞過了它。簡單來說,該系統短暫地使用了過時資訊,最終將一種鏈上項目誤認為另一種。安全人員稱之為「類型混淆」,這是一個老舊的軟體問題,程式讀取了錯誤類型的東西,從而繞過了本應阻止它的檢查。在區塊鏈上,這種混淆是危險的:攻擊者可以將惡意項目偽裝成合法項目,欺騙網路誤讀誰擁有資產以及誰有權移動它。
Polygon 技術長 Mudit Gupta 獨立審查了概念驗證,並告訴 CoinDesk 該驗證如宣稱般運作,但前提是必須滿足一些條件。來自競爭鏈的安全主管的背書,比 Aptos 或 Hexens 自己的說法更具分量。
低廉手續費與巨大交易量為何加劇漏洞影響 吞吐量在此不再只是行銷話術,而是變成了風險倍增器。Hexens 針對一個由超過 30 個驗證節點組成的、模擬真實網路的叢集發動攻擊,使用的伺服器成本約為 3000 美元,模擬了約三分之一的驗證者集合。在 20 次測試中,成功 17 或 18 次,無需內部存取權限或特殊權限。
結合實際數據,畫面更加清晰。每筆交易成本不到一分錢,向鏈上發送大量惡意載荷幾乎是免費的。每天 1600 萬筆交易,區塊在數秒內確認,能夠偽造資產的攻擊者只需一個短暫窗口就能創造資產並在任何人反應之前將其轉移出去。速度是中性的。清除合法交易量的相同引擎,也會以同樣速度清除偽造鑄造和轉移的運作,而網路的人類操作員無法反應得那麼快。
這就是燃燒指標貼文無意中凸顯的部分。
兩個截然不同的數字,以及差距為何重要 此次事件中出現了兩個數字,將它們混為一談會導致故事被扭曲。較小的數字約為 2.5 億美元,這是獨立公司 Grego AI 判斷為直接風險的 Aptos DeFi 應用程式中的價值。較大的數字是 700 億美元,只有在你沿著漏洞向外延伸,經過 Wormhole 和 LayerZero 等跨鏈橋、穩定幣系統以及交易 APT 及其包裝版本的交易所時才會出現。
跨鏈橋是弱點。它們同時匯集來自多條鏈的資產,因此從 Aptos 開始的偽造資產事件,在最壞情況模型中,可能耗盡原本來自以太坊的資金。700 億美元是基於一系列假設的系統性風險最壞情況總和,並非實際存在於那裡可供一次乾淨取走的資金。
| 數字 | | 代表什麼 | | 來源 | | --- | --- | --- | | 2.5 億美元 | | Aptos DeFi 應用程式中直接風險的價值 | | Grego AI | | 700 億美元 | | 跨鏈橋、穩定幣、交易所的系統性風險最壞情況 | | Hexens | | 3000 美元 | | 模擬約三分之一驗證者的伺服器成本 | | Hexens | | 100 萬美元 | | Aptos 漏洞懸賞最高支付等級 | | Aptos 漏洞懸賞計畫 |
Aptos Labs 並未否認報告本身。它確認了透過漏洞懸賞計畫於 2 月 25 日收到的通知,並表示該問題已在內部處理中。它質疑的是嚴重性,認為真實網路條件使漏洞利用比測試環境中更難實現,並將實際可利用性評為「極低」。這一說法與 Gupta 的獨立驗證直接衝突,而雙方立場尚未公開和解。
還有另一個值得指出的差距,這關乎激勵而非程式碼。懸賞上限為 100 萬美元。此類漏洞在黑市上可獲得數倍於此的金額,而 Hexens 仍然選擇揭露,這正是運行懸賞計畫的全部意義。
| 系統性風險解讀 | | 韌性解讀 | | --- | --- | | 一套 3000 美元的設備可能威脅頂級 Layer 1 鏈 | | 數小時內修補,無網路中斷 | | 核心漏洞暗示 Move 鏈存在類別風險 | | Aptos 表示實際條件使可利用性極低 | | 一個漏洞可能影響跨鏈橋和穩定幣資產 | | 懸賞引導白帽結果而非出售 |
爭論期間 APT 走勢圖的表現 交易員大多未予理會。在 Coinbase 的 Aptos/USD 4 小時圖上,透過 TradingView 獲取,APT 在 7 月 7 日交易於 0.635 美元附近,保持在 50 週期移動平均線 0.6061 美元和 100 週期線 0.6147 美元上方,同時遭遇 200 週期平均線 0.6410 美元的阻力。移動平均線僅是過去特定蠟燭數的平均收盤價,這種排列顯示出一波真正的反彈,但尚未突破更大的下跌趨勢——該趨勢自 5 月中旬將 APT 從約 1.00 美元拖至約 0.55 美元。
RSI(衡量買壓的指標,範圍 0 到 100)為 58.77,高於中性 50 關卡,但遠未達到 70 的過熱市場訊號。**CoinMarketCap **顯示 APT 當週上漲 9.91%,報 0.6339 美元,因此揭露事件看起來更像是對情緒的壓抑,而非引發實際賣壓。
超越新聞週期的修復 開發者承擔近期負擔。任何在 Aptos 上運行的應用程式都有理由重新檢查其程式碼如何處理 Hexens 發現的那種邊際案例,而大型投資者可能會在重新審視網路基礎時,對 APT 和 SUI 等 Move 代幣維持略高的風險溢價。
不過,有兩件事在報導退去後很可能會持續存在。第一是懸賞上限。100 萬美元的上限與其旨在保護的價值相比,顯得越來越小,而與黑市買家競爭的項目可能別無選擇,只能提高懸賞金額。第二是研究人員實際提出問題的轉變。多年來,吹噓的權利在於一條鏈能處理多少交易。此事件將焦點轉向相反的能力:網路能多快停止自己。高速鏈越來越需要自動「緊急停止開關」,在發現異常時立即凍結跨鏈轉移,因為一旦人類注意到的時候,交易早已完成。
Aptos 即將對自己進行這項實驗。一項提議在交易確認前隱藏交易細節(這將使搶跑更難)的提案已進入社群投票階段,而其他升級則追求更快的確認時間。每一次升級都增加了速度,也增加了風險價值,正是 Hexens 揭露所顯示的將單一漏洞變成系統性漏洞的相同組合。Move 的下一個安全時刻是讓人安心還是重蹈覆轍,取決於一件事:這些升級是否配備此事件所呼籲的那種內建安全機制。
101.28萬 熱度
12.07萬 熱度
12.56萬 熱度
31.13萬 熱度
102.88萬 熱度
Aptos 漏洞:其速度如何擴大了一個 $70B 風險
一家安全公司揭露,Aptos(較快的 Layer 1 區塊鏈之一)存在一個嚴重漏洞長達數月,之後才被悄悄修復。7 月 4 日,Hexens 公開了其在 2 月 25 日私下向 Aptos 報告的一個漏洞,該漏洞存在於運行鏈上智能合約的引擎中,根據其自身估計,在跨鏈橋、穩定幣及相關交易所中,理論風險高達 700 億美元。Aptos Labs 在收到首次報告後的數小時內即修補了該漏洞,且沒有任何用戶資金受損。
那麼,為何一個五個月前的修補程式現在會成為新聞?有兩個原因。顯而易見的,是那個數字。但還有其背後細節:Aptos 最強力推廣的是原始速度,而原始速度正是將 700 億美元從駭人標題轉變為可辯護估計的關鍵因素。
創紀錄的吞吐量宣傳,於故事曝光後一天發布
7 月 5 日,也就是報告發布後不到 24 小時,該項目的官方帳號按計畫發布了每月代幣經濟學更新,報告顯示過去 30 天內燃燒了 232,500 APT,單日交易量超過 1600 萬筆,創下季度新高,以及交易手續費上漲十倍後的平均費用為 0.0005 美元,所有這些都伴隨著「市場與機器全棧運作」的標語。當你看到 Hexens 的揭露後,這則貼文的意義截然不同,因為 Aptos 所推廣的近乎零成本交易和巨大吞吐量,正是安全研究人員在計算鏈上核心單一漏洞實際可能造成多少損失時,首先會評估的特性。
在 Aptos 上每筆交易都會燃燒 $APT。新的月度更新:
• 過去 30 天燃燒 232.5K APT
• 自主網上線以來總計燃燒 140 萬 APT
• 單日交易量超過 1600 萬筆——創季度新高
• 手續費上漲十倍後,平均交易費用為 0.0005 美元
市場與機器全棧運作。pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) 2026 年 7 月 5 日
該漏洞存在於多數審計檢查的程式碼層級之下
Aptos 基於 Move 語言構建,這是一種專門為防止此類攻擊而設計的程式語言。Move 將代幣及其他數位資產視為受保護項目,並在交易執行時檢查是否有任何東西被誤用為錯誤類型。這個安全承諾是 Aptos 和 Sui 都宣稱 Move 比舊環境更安全的主要原因。
Hexens 的漏洞並非直接突破這個承諾,而是繞過了它。簡單來說,該系統短暫地使用了過時資訊,最終將一種鏈上項目誤認為另一種。安全人員稱之為「類型混淆」,這是一個老舊的軟體問題,程式讀取了錯誤類型的東西,從而繞過了本應阻止它的檢查。在區塊鏈上,這種混淆是危險的:攻擊者可以將惡意項目偽裝成合法項目,欺騙網路誤讀誰擁有資產以及誰有權移動它。
Polygon 技術長 Mudit Gupta 獨立審查了概念驗證,並告訴 CoinDesk 該驗證如宣稱般運作,但前提是必須滿足一些條件。來自競爭鏈的安全主管的背書,比 Aptos 或 Hexens 自己的說法更具分量。
低廉手續費與巨大交易量為何加劇漏洞影響
吞吐量在此不再只是行銷話術,而是變成了風險倍增器。Hexens 針對一個由超過 30 個驗證節點組成的、模擬真實網路的叢集發動攻擊,使用的伺服器成本約為 3000 美元,模擬了約三分之一的驗證者集合。在 20 次測試中,成功 17 或 18 次,無需內部存取權限或特殊權限。
結合實際數據,畫面更加清晰。每筆交易成本不到一分錢,向鏈上發送大量惡意載荷幾乎是免費的。每天 1600 萬筆交易,區塊在數秒內確認,能夠偽造資產的攻擊者只需一個短暫窗口就能創造資產並在任何人反應之前將其轉移出去。速度是中性的。清除合法交易量的相同引擎,也會以同樣速度清除偽造鑄造和轉移的運作,而網路的人類操作員無法反應得那麼快。
這就是燃燒指標貼文無意中凸顯的部分。
兩個截然不同的數字,以及差距為何重要
此次事件中出現了兩個數字,將它們混為一談會導致故事被扭曲。較小的數字約為 2.5 億美元,這是獨立公司 Grego AI 判斷為直接風險的 Aptos DeFi 應用程式中的價值。較大的數字是 700 億美元,只有在你沿著漏洞向外延伸,經過 Wormhole 和 LayerZero 等跨鏈橋、穩定幣系統以及交易 APT 及其包裝版本的交易所時才會出現。
跨鏈橋是弱點。它們同時匯集來自多條鏈的資產,因此從 Aptos 開始的偽造資產事件,在最壞情況模型中,可能耗盡原本來自以太坊的資金。700 億美元是基於一系列假設的系統性風險最壞情況總和,並非實際存在於那裡可供一次乾淨取走的資金。
| 數字 |
| 代表什麼 |
| 來源 | | --- | --- | --- |
| 2.5 億美元 |
| Aptos DeFi 應用程式中直接風險的價值 |
| Grego AI |
| 700 億美元 |
| 跨鏈橋、穩定幣、交易所的系統性風險最壞情況 |
| Hexens |
| 3000 美元 |
| 模擬約三分之一驗證者的伺服器成本 |
| Hexens |
| 100 萬美元 |
| Aptos 漏洞懸賞最高支付等級 |
| Aptos 漏洞懸賞計畫 |
Aptos Labs 並未否認報告本身。它確認了透過漏洞懸賞計畫於 2 月 25 日收到的通知,並表示該問題已在內部處理中。它質疑的是嚴重性,認為真實網路條件使漏洞利用比測試環境中更難實現,並將實際可利用性評為「極低」。這一說法與 Gupta 的獨立驗證直接衝突,而雙方立場尚未公開和解。
還有另一個值得指出的差距,這關乎激勵而非程式碼。懸賞上限為 100 萬美元。此類漏洞在黑市上可獲得數倍於此的金額,而 Hexens 仍然選擇揭露,這正是運行懸賞計畫的全部意義。
| 系統性風險解讀 |
| 韌性解讀 | | --- | --- |
| 一套 3000 美元的設備可能威脅頂級 Layer 1 鏈 |
| 數小時內修補,無網路中斷 |
| 核心漏洞暗示 Move 鏈存在類別風險 |
| Aptos 表示實際條件使可利用性極低 |
| 一個漏洞可能影響跨鏈橋和穩定幣資產 |
| 懸賞引導白帽結果而非出售 |
爭論期間 APT 走勢圖的表現
交易員大多未予理會。在 Coinbase 的 Aptos/USD 4 小時圖上,透過 TradingView 獲取,APT 在 7 月 7 日交易於 0.635 美元附近,保持在 50 週期移動平均線 0.6061 美元和 100 週期線 0.6147 美元上方,同時遭遇 200 週期平均線 0.6410 美元的阻力。移動平均線僅是過去特定蠟燭數的平均收盤價,這種排列顯示出一波真正的反彈,但尚未突破更大的下跌趨勢——該趨勢自 5 月中旬將 APT 從約 1.00 美元拖至約 0.55 美元。
RSI(衡量買壓的指標,範圍 0 到 100)為 58.77,高於中性 50 關卡,但遠未達到 70 的過熱市場訊號。**CoinMarketCap **顯示 APT 當週上漲 9.91%,報 0.6339 美元,因此揭露事件看起來更像是對情緒的壓抑,而非引發實際賣壓。
超越新聞週期的修復
開發者承擔近期負擔。任何在 Aptos 上運行的應用程式都有理由重新檢查其程式碼如何處理 Hexens 發現的那種邊際案例,而大型投資者可能會在重新審視網路基礎時,對 APT 和 SUI 等 Move 代幣維持略高的風險溢價。
不過,有兩件事在報導退去後很可能會持續存在。第一是懸賞上限。100 萬美元的上限與其旨在保護的價值相比,顯得越來越小,而與黑市買家競爭的項目可能別無選擇,只能提高懸賞金額。第二是研究人員實際提出問題的轉變。多年來,吹噓的權利在於一條鏈能處理多少交易。此事件將焦點轉向相反的能力:網路能多快停止自己。高速鏈越來越需要自動「緊急停止開關」,在發現異常時立即凍結跨鏈轉移,因為一旦人類注意到的時候,交易早已完成。
Aptos 即將對自己進行這項實驗。一項提議在交易確認前隱藏交易細節(這將使搶跑更難)的提案已進入社群投票階段,而其他升級則追求更快的確認時間。每一次升級都增加了速度,也增加了風險價值,正是 Hexens 揭露所顯示的將單一漏洞變成系統性漏洞的相同組合。Move 的下一個安全時刻是讓人安心還是重蹈覆轍,取決於一件事:這些升級是否配備此事件所呼籲的那種內建安全機制。