アプトス(Aptos)ブロックチェーンネットワークを動かすMove Virtual Machineに重大な欠陥

アプトスのMove仮想マシンに重大な欠陥が発覚

アプトス(Aptos)ブロックチェーンネットワークを強化するMove仮想マシンに現在パッチが適用されている重大な欠陥に関する詳細を明らかにした事が分かった。

発見された脆弱性により、「Aptosノードがクラッシュし、サービス拒否が引き起こされる可能性がある」と、シンガポールを拠点とするNumen Cyber Labsは2022年10月初めに公開された技術に関する内容が記載されたブログの中で述べている。アプトスは、2022年10月17日にメインネットを立ち上げたブロックチェーン市場への新規参入者で、Meta(旧社名:Facebook) によって提案されたDiemステーブルコイン決済システムにルーツがあり、Noviと呼ばれる短命に終わったデジタルウォレットも導入されている。

脆弱性には計り知れない損害と深刻な影響も懸念される

ネットワークは、Move仮想マシン(※別名:MoveVM)と呼ばれる安全なランタイム環境でスマートコントラクトを実装および実行するように設計されたRustベースのシステムである Moveと呼ばれるプラットフォームに依存しないプログラミング言語を使用して構築されている。

Numen Cyber Labsによって特定された今回発覚した脆弱性は、Move言語検証モジュール(stack_usage_verifier.rs)に根ざしており、これは、MoveVMでの実行前にバイトコード命令を検証するコンポーネントとなっている。具体的には、スタックベースのWeb3プログラミング言語の整数オーバーフローの脆弱性に関連しており、未定義の動作が発生してクラッシュする可能性があり、サイバーセキュリティ企業のNumen Cyber Labs社は次のように詳述している。

この脆弱性はMove実行モジュールで発生するため、チェーン上のノードに対して、バイトコードが実行されると、“サービス拒否”攻撃が発生します。そして、深刻なケースでは、Aptos ネットワークが完全に停止する可能性があり、計り知れない損害が発生し、ノードの安定性に深刻な影響を与えます。