บริษัทรักษาความปลอดภัย Hexens CTO Vahe Karapetyan ตรวจพบช่องโหว่แคชเก่าใน Move Virtual Machine บนบล็อกเชน Aptos เมื่อวันที่ 5 กรกฎาคม ซึ่งนำไปสู่ type confusion ช่องโหว่นี้สามารถหลอกให้ซอฟต์แวร์ข้ามการรับประกันความปลอดภัยของชนิดข้อมูลในภาษา Move Hexens ตั้งค่าแวดล้อมจำลองด้วยเซิร์ฟเวอร์มูลค่าประมาณ 3,000 ดอลลาร์ โดยมีอัตราความสำเร็จในการโจมตีเกือบ 90% จากการทดสอบ 20 ครั้ง
ตามรายงานทางเทคนิคของ Hexens ทีม Karapetyan สร้างสภาพแวดล้อมจำลองที่ใกล้เคียงกับเมนเน็ตเพื่อตรวจสอบความเป็นไปได้ของช่องโหว่: โหนดผู้ตรวจสอบมากกว่า 30 ราย การกระจาย Stake ที่ใกล้เคียงเมนเน็ต ปริมาณธุรกรรมจริง และการแข่งขันในการประมวลผลที่เข้มข้น โดยมีต้นทุนการตั้งค่าประมาณ 3,000 ดอลลาร์ หากโจมตีจริง ต้นทุนจะต่ำกว่า และไม่จำเป็นต้องมีสิทธิ์ผู้ตรวจสอบ ความรู้ภายใน หรือการเข้าถึงพิเศษ
Hexens ทดสอบในสภาพแวดล้อมจำลองประมาณ 20 ครั้ง สำเร็จ 17-18 ครั้ง คิดเป็นอัตราความสำเร็จเกือบ 90% แม้จะล้มเหลว 2-3 ครั้งเป็นครั้งคราว ก็ไม่ทำให้เครือข่ายหยุดชะงัก ผู้โจมตีสามารถรอโอกาสถัดไปได้อย่างอดทน
ตามรายงานของ Aptos อย่างเป็นทางการและ CoinDesk Hexens รายงานช่องโหว่ผ่านโปรแกรม Bug Bounty ของ Aptos เมื่อวันที่ 25 กุมภาพันธ์ 2026 Aptos ระบุว่าทีมงานกำลังจัดการกับปัญหานี้อยู่แล้วเมื่อได้รับรายงาน ทีมตอบสนองฉุกเฉินอาสาสมัครในอุตสาหกรรมคริปโต SEAL911 เปิด War Room ในวันเดียวกัน บ่ายวันเดียวกัน Aptos แจ้งผู้ผลิตที่ได้รับผลกระทบและโปรเจกต์ปลายน้ำหลัก 4 ราย พร้อมแนบ Proof of Concept (PoC) ที่สามารถรันบนเครื่องท้องถิ่น
Aptos กล่าวกับ CoinDesk: "การแก้ไขได้รับการพัฒนา ทดสอบ และปรับใช้กับเมนเน็ตภายในไม่กี่ชั่วโมงหลังการค้นพบ ตลอดกระบวนการไม่มีผู้ใช้หรือเงินทุนได้รับผลกระทบ" Pull Request การแก้ไขแบบสาธารณะเผยแพร่เมื่อวันที่ 27 กุมภาพันธ์ แต่ผู้ตรวจสอบส่วนตัวได้ปรับใช้การแก้ไขก่อน commit สาธารณะ
ตามรายงานของ CoinDesk การประเมินของ Aptos อย่างเป็นทางการและ Hexens มีความแตกต่างกันอย่างชัดเจน: Aptos ระบุว่า "การวิเคราะห์ของเราชี้ว่าช่องโหว่นี้มีความเป็นไปได้ต่ำมากที่จะถูกใช้ประโยชน์ในสภาพโลกแห่งความจริง" ขณะที่ Hexens ตอบกลับว่ายังไม่ได้รับการโต้แย้งทางเทคนิคที่มีหลักฐานใด ๆ
Mudit Gupta CTO ของ Polygon ตรวจสอบ PoC แยกกันและกล่าวว่า: "มันทำงานตามที่อ้าง ช่องโหว่สมเหตุสมผล... ต้องมีเงื่อนไขหลายประการ แต่ดูเหมือนว่าพวกเขาทำได้สำเร็จบนเมนเน็ต"
Grego AI หน่วยงานอิสระตรวจสอบ PoC แล้ว Justus Hanna CEO กล่าวตรงไปตรงมา: "หากผู้ไม่หวังดีได้รับช่องโหว่นี้ พวกเขาสามารถเอา TVL (Total Value Locked) ไปได้ทุกอย่างที่ต้องการ"
ตามการประเมินของ Hexens และ Grego AI ความเสี่ยงจากช่องโหว่นี้แบ่งเป็นสองระดับ:
Aptos Native TVL เสี่ยงโดยตรง (ประเมินโดย Grego AI): จากอัตราความสำเร็จในการโจมตีเกือบ 90% TVL ดั้งเดิมของ Aptos ประมาณ 250 ล้านดอลลาร์ถูกคุกคามโดยตรง ไม่รวมความเสี่ยงข้ามเชน
ความเสี่ยงเชิงระบบ (ประเมินโดย Hexens): สูงถึง 70,000 ล้านดอลลาร์ ครอบคลุม Cross-Chain Bridge, ระบบส่งข้อความข้ามเชน, กระบวนการจัดการการออก Stablecoin และสินทรัพย์ที่สามารถเข้าถึงได้จาก CEX ตัวเลขนี้อิงตามสมมติฐานที่ผู้โจมตีออก USDC จำนวนมากและย้ายสินทรัพย์ไปยังเชนอื่นผ่าน CCTP ของ Circle
ข้อจำกัดของ Circle: Circle ระบุว่าจะไม่凍結สินทรัพย์โดยไม่มีคำสั่งทางกฎหมาย หมายความว่าหากทุกฝ่ายเข้ามาจัดการทันเวลา โอกาสที่ความเสี่ยง 70,000 ล้านดอลลาร์จะเกิดขึ้นจริงนั้นมีจำกัด
ความเสี่ยงการแพร่กระจายของ Trust Chain: สิทธิ์สำคัญของโปรโตคอลในภาษา Move (การออก Stablecoin, การควบคุม Cross-Chain Bridge, การจัดการตลาดสินเชื่อ) ถูกเก็บในรูปแบบ "On-Chain Resource" เมื่อถูกโจมตี ความเสียหายจะแพร่กระจายไปตาม Trust Chain ไปยังระบบทั้งหมดที่พึ่งพามัน
ในการทดสอบจริง Hexens เคยควบคุมบทบาทที่คล้าย "Master Minter" ชั่วคราว ดำเนินการผ่านเส้นทางการจัดการที่ถูกต้อง หยุดก่อนการออกเหรียญจริง แต่พอพิสูจน์แล้วว่าบทบาทดังกล่าวต้องรวมอยู่ใน Threat Model ที่สมบูรณ์
ตามรายงานทางเทคนิคของ Hexens นี่คือ "ช่องโหว่แคชเก่า (stale-cache bug)" ที่ทำให้เกิด "type confusion" ซอฟต์แวร์ถูกหลอกให้เข้าใจผิดว่าทรัพยากรออนเชนชนิดหนึ่งเป็นอีกชนิดหนึ่ง ข้ามการรับประกันความปลอดภัยของภาษา Move เท่ากับให้โค้ดที่ผู้โจมตีควบคุมเขียนลงในพื้นที่เก็บสัญญาอื่นโดยตรง
ตามแถลงการณ์อย่างเป็นทางการของ Aptos ช่องโหว่ได้รับการแก้ไข ทดสอบ และปรับใช้กับเมนเน็ตภายในไม่กี่ชั่วโมงหลังรายงานเมื่อวันที่ 25 กุมภาพันธ์ 2026 ผู้ตรวจสอบส่วนตัวปรับใช้ก่อน commit สาธารณะเมื่อวันที่ 27 กุมภาพันธ์ Aptos ระบุว่าตลอดกระบวนการไม่มีผู้ใช้หรือเงินทุนได้รับผลกระทบ
ตามการประเมินของ Hexens 70,000 ล้านดอลลาร์ครอบคลุม Cross-Chain Bridge, ระบบส่งข้อความข้ามเชน, การออก Stablecoin และสินทรัพย์ที่สามารถเข้าถึงได้จาก CEX โดยอิงตามสมมติฐานที่ผู้โจมตีออก USDC จำนวนมากและย้ายไปยังเชนอื่นผ่าน CCTP ของ Circle Circle ระบุว่าจะไม่凍結สินทรัพย์โดยไม่มีคำสั่งทางกฎหมาย หากทุกฝ่ายเข้ามาจัดการทันเวลา โอกาสที่ความเสี่ยงจะเกิดขึ้นจริงนั้นมีจำกัด
news.related.news
Hinkal DeFi สูญเสีย 820,000 ดอลลาร์จากช่องโหว่ และ ETH 410 เหรียญเกี่ยวข้องกับการฟอกเงิน
นักเทรดชื่อดังตรวจพบ: หุ้น Strategy สงสัยขาย Bitcoin 491 เหรียญ ยังต้องตรวจสอบความจริง
Drift Protocol เปลี่ยนชื่อเป็น Velocity DEX วางแผนเริ่มต้นใหม่หลังคดีขโมย 280 ล้านดอลลาร์
ความสูญเสียจากการแฮ็กคริปโตในเดือนมิถุนายนลดลงเหลือ 75.9 ล้านดอลลาร์ โดยการโจมตี Humanity เป็นสาเหตุหลัก