Blockchain Aptos lộ lỗ hổng nghiêm trọng, tài sản tới 70 tỷ USD đối mặt rủi ro hệ thống

Tóm tắt thị trường bằng AI
Hexens đã báo cáo một lỗ hổng nghiêm trọng kiểu nhầm lẫn kiểu (type-confusion) "stale cache" của Move VM trên Aptos, có thể đã cho phép các cuộc tấn công với tỷ lệ thành công cao mà không cần quyền truy cập của validator, có khả năng chiếm quyền hạn của các giao thức xuyên chuỗi và đe dọa DeFi, stablecoin và liquid staking. Dù Aptos đã vá trong vòng vài giờ và không có khoản tiền nào bị mất, việc công bố này làm nổi bật rủi ro hệ thống mang tính trọng yếu ở lớp smart contract và lớp cầu nối, điều có thể gây áp lực lên niềm tin và thanh khoản trong ngắn hạn trên toàn hệ sinh thái Aptos.
Mức ảnh hưởng
● Cao
Tài sản bị ảnh hưởng
APT/USDT-2.50%
Quan điểm AI · APT/USDTQuan điểm AI
▼ Giá giảm
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
CoinDesk đưa tin, nhóm nghiên cứu của Hexens – công ty bảo mật blockchain – phát hiện một lỗ hổng dạng "stale cache" gây nhầm lẫn kiểu (type confusion) trong máy ảo Move của blockchain Aptos. Theo mô phỏng, kẻ tấn công có thể đạt tỷ lệ thành công gần 90% với chi phí máy chủ khoảng 3.000 USD, không cần đặc quyền của validator hay kiến thức nội bộ. Trong các bài kiểm thử, Hexens thực hiện khoảng 20 lần tấn công và thành công 17–18 lần. Nhóm này cũng xác nhận khả năng chiếm quyền kiểm soát các quyền quản trị của những giao thức cross-chain như LayerZero, Wormhole và USDC CCTP. Hexens đánh giá lỗ hổng có thể đe dọa trực tiếp các giao thức DeFi, stablecoin và ứng dụng liquid staking trên Aptos, khiến khối tài sản trị giá hàng tỷ USD bị phơi nhiễm. Nếu bị khai thác qua cầu nối cross-chain, cơ chế mint stablecoin hoặc các sàn giao dịch tập trung, mức độ rủi ro hệ thống có thể lên tới 70 tỷ USD. Aptos cho biết sau khi nhận báo cáo vào ngày 25/2, đội ngũ đã vá lỗi và triển khai bản sửa lên mainnet chỉ trong vài giờ. Hiện chưa ghi nhận trường hợp tiền của người dùng bị ảnh hưởng.