주요 내용:
- Hexens 연구원, 2월에 만료된 캐시 버그를 비공개로 보고
- 해당 결함으로 최대 700억 달러 규모의 브릿지 디지털 자산이 위험에 처할 수 있었음
- 앱토스, 익스플로잇 발생 전에 취약점 패치 완료
주요 내용:

앱토스(Aptos)가 Move 가상 머신에서 발견된 치명적인 취약점을 패치했다. 보안 연구원들은 이 취약점으로 인해 최대 700억 달러 규모의 디지털 자산이 시스템적 위험에 노출될 수 있었다고 밝혔다.
Hexens 팀은 코인데스크에 보낸 성명에서 "만료된 캐시(expired cache) 문제로 인해 오래된 데이터가 실행 컨텍스트 전반에 걸쳐 지속될 수 있었으며, 이는 공격자가 자산 상태를 조작할 수 있는 가능성을 열어주었다"고 설명했다.
이 버그는 블록체인 프로토콜 감사를 전문으로 하는 보안 업체 Hexens에 의해 2월 말 앱토스 개발자들에게 비공개로 보고됐다. 취약점은 Move VM의 캐싱 레이어에 존재했으며, 만료된 데이터가 새로 계산되지 않고 캐시에서 제공되면서 스마트 계약 실행 전반에 걸쳐 상태 조작의 창구가 발생했다. 앱토스는 수개월에 걸친 공동 개발 및 테스트를 거쳐 7월 5일 패치를 배포했으며, 자금 손실은 발생하지 않았다.
이번 패치는 수십억 달러 규모의 브릿지 자산을 이더리움, 솔라나 및 기타 체인으로부터 보유하고 있는 앱토스 생태계에 치명적일 수 있었던 실패 벡터를 제거했다. 이 사건은 크로스체인 브릿지와 스테이블코인 발행이 확장됨에 따라 L1 플랫폼의 보안 부담이 커지고 있음을 보여준다. 더 많은 실제 자산이 온체인으로 이동함에 따라 이러한 동향은 더욱 심화될 전망이다.
메타(Meta)의 디엠(Diem) 프로젝트에서 원래 개발된 Move 프로그래밍 언어를 사용하는 앱토스는 이더리움의 고처리량 대안으로 자리매김해 왔다. 디파이라마(DefiLlama) 데이터에 따르면 7월 초 기준 앱토스 네트워크의 디파이 프로토콜 전반에 걸친 총예치금(TVL)은 약 12억 달러였으며, USDC, USDT 및 래핑된 이더(Wrapped Ether)의 브릿지 표현을 통해 추가 가치가 유입되고 있다. 만료된 캐시 결함이 악용됐다면 공격자가 트랜잭션 경계를 넘어 캐시된 상태 데이터를 조작함으로써 이러한 풀을 고갈시킬 수 있었을 것이다.
700억 달러의 노출 추정치는 스테이블코인과 주요 암호화폐의 크로스체인 표현을 포함해 앱토스 네트워크로 브릿지되거나 발행된 자산의 총 가치를 반영한다. 앱토스의 실제 TVL은 이보다 낮지만, 크로스체인 브릿지의 상호연결된 특성상 하나의 L1이 손상될 경우 연결된 네트워크로 위기가 전이될 수 있다. 이러한 위험은 보안 감사자와 보험 제공자로부터 더 큰 주목을 받고 있다. 이번 패치는 2025년과 2026년 여러 주요 브릿지 익스플로잇 이후 암호화폐 시장 전반의 보안 인식이 높아진 상황에서 나왔다.
앱토스에게 이번 성공적인 공동 정보 공개는 기관 도입에 긍정적인 신호로 작용한다. 앱토스 네트워크는 형식 검증(formal verification)과 안전성 보장을 강조하는 Move 기반 아키텍처를 바탕으로 전통적인 금융 기관들의 관심을 끌어왔다. 공개적인 익스플로잇이 발생했다면 이러한 노력이 무산될 수 있었지만, 조용한 패치를 통해 플랫폼은 이더리움, 솔라나, 수이(Sui)와 Move 생태계에서 개발자 지분을 놓고 경쟁하는 가운데 보안 스토리를 유지할 수 있게 됐다.
본 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.