Aptos vá lỗ hổng nghiêm trọng: rủi ro lý thuyết tới 70 tỷ USD đã được khắc phục
Tóm tắt thị trường bằng AI
Aptos đã vá một lỗ hổng "stale-cache" nghiêm trọng trong Move VM mà các nhà nghiên cứu cho biết có thể cho phép chiếm quyền điều khiển các struct trên chuỗi và tài nguyên quyền hạn, hàm ý mức độ phơi nhiễm hệ thống trên lý thuyết là lớn trên toàn DeFi và các cầu nối. Không có khoản tiền nào bị mất và bản vá đã được triển khai lên mainnet trong vòng vài giờ, điều này mang tính ổn định, nhưng việc công bố cũng làm nổi bật rủi ro tiềm ẩn về thực thi hợp đồng thông minh và có thể thắt chặt các kiểm soát rủi ro đối với các giao thức liên kết với Aptos, đặc biệt là các cầu nối xuyên chuỗi.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
APT/USDT-2.46%
Quan điểm AI · APT/USDTQuan điểm AI
● Trung lập
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Một blockchain xử lý lượng giao dịch trị giá hàng tỷ USD mỗi ngày đã suýt đối mặt kịch bản thảm họa, chỉ cách vài trăm USD chi phí tấn công. Aptos Labs cho biết đã vá một lỗ hổng nghiêm trọng trong máy ảo Move sau khi các nhà nghiên cứu bảo mật chứng minh rằng một cuộc tấn công mô phỏng có thể thành công gần 90% với cấu hình máy chủ ở mức vừa phải.
Lỗ hổng được gọi là "stalecache", do công ty an ninh blockchain Hexens báo cáo ngày 25/2/2026. Aptos triển khai bản sửa lên mainnet chỉ trong vài giờ. Đến ngày 27/2, một pull request công khai được đăng tải, mô tả chi tiết bản vá và liên hệ với chương trình bug bounty của dự án.
Lỗi hoạt động ra sao
Sự cố nằm trong Move virtual machine, môi trường thực thi xử lý mọi smart contract trên mạng Aptos. Theo Hexens, lỗ hổng có thể cho phép kẻ tấn công chiếm quyền kiểm soát các "struct" on-chain và các "authority resources", từ đó can thiệp vào những cấu trúc dữ liệu cốt lõi quyết định ai sở hữu tài sản gì trên blockchain.
Nhóm nghiên cứu đã xây dựng tấn công dạng proof-of-concept với hệ thống máy chủ khoảng 3.000 USD; mỗi lần thử tấn công tiêu tốn ở mức vài trăm USD. Trong mô phỏng, tỷ lệ thành công đạt gần 90%.
Ước tính rủi ro hệ thống 70 tỷ USD
Hexens ước tính mức rủi ro hệ thống có thể lên tới 70 tỷ USD, tính cả stablecoin, các cầu nối cross-chain và các giao thức DeFi xây dựng trên hoặc có kết nối với Aptos. Trong đó, bridge là mục tiêu đặc biệt nhạy cảm do nắm giữ tài sản được gom từ nhiều chuỗi; chỉ một lần khai thác thành công có thể rút cạn dòng tiền có nguồn gốc từ nơi khác.
CTO của Polygon, ông Mudit Gupta, đã tự đánh giá proof-of-concept của Hexens và xác nhận các phát hiện.
Phản hồi của Aptos và tranh luận sau đó
Aptos cho biết không có tài sản người dùng bị thất thoát trong sự cố. Dự án nhấn mạnh tốc độ xử lý từ lúc phát hiện đến lúc vá mainnet chỉ trong vài giờ. Aptos cũng phản bác một số nhận định về khả năng khai thác trong điều kiện thực tế của mainnet, lập luận rằng các ràng buộc ngoài đời sẽ khiến việc tấn công khó hơn so với môi trường mô phỏng. Quan điểm này đối lập với việc Gupta xác nhận độc lập proof-of-concept.
Pull request công khai ngày 27/2 ghi nhận chi tiết sửa lỗi và chính thức gắn sự cố với chương trình bug bounty của Aptos, nơi mức thưởng cho lỗ hổng nghiêm trọng có thể lên tới 1 triệu USD.
Nhà đầu tư và đội ngũ xây dựng cần theo dõi gì
Con số 70 tỷ USD phản ánh mức phơi nhiễm tối đa về mặt lý thuyết nếu kẻ tấn công có thể xâu chuỗi mọi đường khai thác dễ tổn thương cùng lúc. Rào cản chi phí thấp (máy chủ 3.000 USD và vài trăm USD mỗi lần thử) khiến đây trở thành mục tiêu hấp dẫn nếu mạng lưới có giá trị lớn.
Các giao thức phụ thuộc Aptos cho lớp thanh toán, đặc biệt là các bridge cross-chain, được khuyến nghị xem đây là tín hiệu để rà soát lại các phụ thuộc và tiến hành audit bổ sung. Trần thưởng bug bounty 1 triệu USD của Aptos được đánh giá là cạnh tranh, nhưng với mức phơi nhiễm lý thuyết lên tới hàng chục tỷ USD, việc nhà nghiên cứu chọn công bố có trách nhiệm thay vì bán trên thị trường xám cho khoản lợi nhuận cao hơn là điểm đáng chú ý.