Aptos công bố lỗ hổng nghiêm trọng, từng có nguy cơ khiến 70 tỷ USD tài sản đối mặt rủi ro hệ thống
Tóm tắt thị trường bằng AI
Aptos đã công bố và vá một lỗ hổng nhầm lẫn kiểu (type-confusion) nghiêm trọng trong Move VM liên quan đến "stale cache" mà các whitehat báo cáo rằng có thể đã cho phép khai thác với tỷ lệ thành công cao mà không cần quyền truy cập nội bộ, có khả năng tác động đến tài sản thông qua stablecoin và các cầu nối cross-chain. Không có khoản tiền nào bị mất, nhưng sự việc nhấn mạnh rủi ro tiềm ẩn trong thực thi smart contract và có thể làm tăng phần bù rủi ro trong ngắn hạn cùng mức độ giám sát đối với các giả định bảo mật dựa trên Move trên các hệ sinh thái liên quan đến Aptos.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
APT/USDT-1.98%
Quan điểm AI · APT/USDTQuan điểm AI
● Trung lập
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Theo Huo Xing Cai Jing dẫn nguồn Coindesk, các hacker mũ trắng thuộc công ty an ninh Hexens đã phát hiện một lỗ hổng trên blockchain Aptos và vấn đề này hiện đã được vá.
Nếu bị khai thác với mục đích xấu, lỗ hổng có thể khiến lượng tài sản số trị giá tới 70 tỷ USD rơi vào rủi ro mang tính hệ thống, bao gồm stablecoin và các cầu nối cross-chain. Cuối tháng 2, nhóm nghiên cứu của Hexens đã báo cáo cho đội ngũ phát triển Aptos về một lỗi nghiêm trọng trong máy ảo Move, môi trường thực thi hợp đồng thông minh on-chain.
Hexens xác định đây là "lỗ hổng bộ nhớ đệm cũ (stale cache)" dẫn tới lỗi "nhầm lẫn kiểu (type confusion)", cho phép phần mềm bị đánh lừa để nhận diện sai một tài nguyên on-chain thành một tài nguyên khác. Nhóm nghiên cứu cho biết họ mô phỏng kịch bản tấn công trong môi trường mạng đang hoạt động và đạt tỷ lệ thành công trên 90%.
Với một cụm máy chủ được cấu hình phù hợp, chi phí chỉ khoảng 3.000 USD, họ mô phỏng được xấp xỉ 1/3 mạng lưới validator. Cuộc tấn công không cần quyền truy cập nội bộ hay đặc quyền đặc biệt. Sau khi được thông báo, Aptos đã lập tức triển khai bản vá, không ghi nhận thất thoát tài sản.