Một lỗ hổng nghiêm trọng trong chuỗi khối Aptos đã được vá, mang lại cho các nhà nghiên cứu tỷ lệ thành công gần 90% trong việc phá vỡ đảm bảo an ninh cốt lõi, với chi phí tấn công chỉ hàng trăm đô la.
Cập nhật ngày 4 tháng 7 năm 2026, 8:16 chiều Được xuất bản ngày 4 tháng 7 năm 2026, 6:00 chiều

- Các tin tặc đạo đức từ công ty bảo mật Hexens đã phát hiện ra một lỗ hổng trong chuỗi khối Aptos đã được vá nhưng có thể khiến tài sản kỹ thuật số trị giá tới 70 tỷ USD gặp rủi ro hệ thống, bao gồm cả stablecoin và cầu nối chuỗi chéo.
- Các nhà nghiên cứu đã mô phỏng cuộc tấn công với tỷ lệ thành công trên 90% trong điều kiện mạng thực, sử dụng thiết lập máy chủ được cung cấp tốt với chi phí chỉ 3.000 USD để mô phỏng khoảng 1/3 mạng trình xác thực và cuộc tấn công không yêu cầu quyền truy cập nội bộ hoặc quyền đặc biệt.
- Lỗ hổng này đã được báo cáo thông qua các kênh bảo mật khẩn cấp vào ngày 25 tháng 2 và một bản vá đã được triển khai trong vòng vài ngày để ngăn chặn bất kỳ khoản tiền nào bị mất.
Một máy chủ trị giá 3.000 đô la là đủ để một nhà nghiên cứu bảo mật blockchain mô phỏng đường dẫn tấn công mà họ cho rằng có thể khiến cơ sở hạ tầng tiền điện tử trị giá tới 70 tỷ đô la gặp rủi ro.
Trọng tâm của tiết lộ là một lỗ hổng trong Aptos, một blockchain lớp 1 được xây dựng trên Move, nền tảng ngôn ngữ hợp đồng thông minh được Aptos và Sui sử dụng, bắt nguồn từ dự án Diệm của Facebook.
Vào cuối tháng 2, các nhà nghiên cứu tại công ty bảo mật blockchain Hexens đã báo cáo một lỗ hổng nghiêm trọng trong máy ảo Aptos Move, môi trường thực thi xử lý các hợp đồng thông minh trên chuỗi, cho nhóm phát triển dự án. Hexens đã xác định cái mà họ mô tả là “lỗi bộ đệm cũ” dẫn đến lỗ hổng nhầm lẫn loại, một tình trạng trong đó phần mềm có thể bị lừa coi một loại tài nguyên trên chuỗi này là một loại tài nguyên khác.
Nhóm Aptos đã vá lỗ hổng khi nó được gắn cờ và không có khoản tiền nào bị mất.
“Aptos Labs đã được thông báo về một vấn đề tiềm ẩn thông qua chương trình tiền thưởng lỗi của chúng tôi vào ngày 25 tháng 2 và chương trình này đã được xử lý nội bộ vào thời điểm đó,” một phát ngôn viên của Aptos nói với CoinDesk. “Bản sửa lỗi đã được phát triển, thử nghiệm và triển khai trên mạng chính trong vòng vài giờ sau khi được phát hiện. Không có người dùng hoặc khoản tiền nào bị ảnh hưởng vào bất kỳ thời điểm nào.”
Người phát ngôn của Aptos cũng tranh cãi về khả năng khai thác thực tế của lỗi này đối với CoinDesk. “Phân tích của chúng tôi xác định rằng lỗi này có khả năng khai thác cực kỳ thấp trong điều kiện thực tế.”
Tuy nhiên, chi tiết về những gì các nhà nghiên cứu tìm thấy đưa ra một cái nhìn tỉnh táo về mức độ gần gũi của hệ sinh thái với một sự kiện có khả năng thay đổi ngành.
Mức độ nhạy cảm của loại lỗi này liên quan đến cách ngôn ngữ Move xử lý quyền. Các quyền của giao thức trong Move, bao gồm quyền đúc tiền ổn định, kiểm soát cầu nối hoặc quản lý thị trường cho vay, thường được lưu trữ trực tiếp dưới dạng tài nguyên trên chuỗi. Nếu những tài nguyên đó bị xâm phạm, thiệt hại sẽ không dừng lại ở một giao thức. Nó mở rộng đến mọi thứ mà họ tin tưởng.
Các nhà nghiên cứu của Hexens đưa ra một sự tương tự thực tế với lỗi này: nó gần giống với một lỗi trên chuỗi kiểu Ethereum cho phép mã do kẻ tấn công kiểm soát ghi vào bộ lưu trữ thuộc các hợp đồng khác, bỏ qua các đảm bảo của hệ thống loại mà Move được thiết kế đặc biệt để duy trì.
Mudit Gupta, CTO tại Polygon, đã xem xét độc lập các tài liệu chứng minh khái niệm và cho biết việc khai thác đã được tiến hành. Ông nói với CoinDesk: “Nó chạy như đã tuyên bố và việc khai thác có ý nghĩa”. “Nó yêu cầu phải đáp ứng một số điều kiện, điều này có vẻ giống như họ đã làm trên mạng chính.”
Trong khi đó, Grego AI, cơ quan đã xác minh độc lập bằng chứng khái niệm của Hexens, đã tính toán rằng khoảng 250 triệu đô la trong TVL gốc Aptos đang gặp rủi ro trực tiếp dựa trên tỷ lệ thành công gần 90%, tách biệt với mức độ hiển thị xuyên chuỗi rộng hơn.
Rủi ro 70 tỷ USD
Lỗ hổng được phát hiện bởi Vahe Karapetyan, CTO và đồng sáng lập Hexens, nếu không được kiểm soát, có thể gây ra bề mặt rủi ro hệ thống lớn hơn nhiều trên các bridge, stablecoin, giao thức DeFi và sàn giao dịch tập trung, gây thiệt hại hàng tỷ USD và tạo ra một cuộc khủng hoảng vượt xa chính Aptos.
Và tất cả những gì nó cần là những máy chủ trị giá vài nghìn đô la.
Tổng chi phí để hoàn thiện cơ sở hạ tầng cần thiết để chạy thử nghiệm này là khoảng 3.000 USD cho một máy chủ mô phỏng môi trường được thiết kế gần giống với các điều kiện của mạng chính Aptos. Mặc dù nếu kẻ tấn công độc hại thực sự thực hiện việc khai thác, thì nó sẽ yêu cầu ít hơn đáng kể mà không yêu cầu quyền truy cập của trình xác thực, kiến thức nội bộ hoặc các quyền giao thức đặc quyền.
Nhóm đã thực hiện lộ trình khai thác khoảng 20 lần trong môi trường mô phỏng và đã thành công 17 hoặc 18 lần. Hai hoặc ba lần thử thất bại không làm dừng mạng, có nghĩa là kẻ tấn công có thể chỉ cần có một cửa sổ khác để thử lại.
Mô phỏng được xây dựng để gần đúng với các điều kiện mạng thực, sử dụng một cụm gồm hơn 30 nút xác thực, phân phối cổ phần theo hình mạng chính, lưu lượng giao dịch không phải trả tiền và sự tranh chấp thực thi nặng nề. Nhóm Hexens cũng đã thử nghiệm cái mà họ gọi là “kỹ thuật hiệu chuẩn không vũ trang”: các cuộc chạy thử đo các điều kiện của mempool và khối xây dựng trước khi thực hiện nỗ lực vũ trang. Công ty cho biết những bước đó làm giảm đáng kể sự không chắc chắn do các yếu tố xác suất của việc khai thác gây ra, khiến đường tấn công trở nên đáng tin cậy hơn trong thực tế.
Dựa trên dữ liệu công khai được thu thập tại thời điểm báo cáo, Hexens đã đánh giá mức độ hiển thị giao thức trực tiếp và đặt hàng đầu tiên trên Aptos, bao gồm các giao thức DeFi, tài sản được mã hóa, cơ sở hạ tầng stablecoin và hệ thống đặt cược thanh khoản, ở mức thấp hàng tỷ chữ số.
Tuy nhiên, trong những hoạt động khai thác như vậy, rủi ro rộng hơn có thể lớn hơn, vì các thỏa hiệp ở cấp độ blockchain hiếm khi dừng lại ở chuỗi bị ảnh hưởng.
Hexens đánh giá rằng rủi ro hệ thống bậc một rộng hơn là khoảng 70 tỷ USD – một con số khổng lồ bao gồm giá trị có thể truy cập thông qua các cầu nối, hệ thống nhắn tin chuỗi chéo, luồng quản trị stablecoin và sàn giao dịch tập trung.
Grego AI lưu ý rằng việc khai thác cũng có thể được sử dụng để đánh cắp các khả năng của giao thức, bao gồm cả các khả năng do LayerZero, Wormhole và CCTP của USDC nắm giữ. “Nếu những kẻ độc hại có quyền truy cập vào lỗi này, chúng sẽ có thể lấy đi tất cả [the] TVL mà họ muốn[ed]”, Justus Hanna, Giám đốc điều hành của Grego AI cho biết.
Mô phỏng cho thấy ngành vẫn dễ bị tổn thương trước các lỗi tiềm ẩn trong công nghệ blockchain.
Về mặt lý thuyết, nếu kẻ tấn công thực sự tìm thấy và khai thác lỗi này, nó có thể dễ dàng thu hẹp quy mô lớn 1,5 tỷ USD bị đánh cắp trong vụ hack Bybit năm ngoái. Gần đây nhất, vào tháng 6, Zcash (ZEC) giảm mạnh 38% sau khi các nhà phát triển tiết lộ một lỗi nghiêm trọng đã ẩn giấu trong nhóm bảo mật của nó trong bốn năm mà không bị phát hiện, một thứ có thể cho phép kẻ tấn công in mã thông báo giả không giới hạn mà không ai biết. Trước đó, các vụ hack cầu nối chín con số và giao thức khai thác các nhóm thanh khoản cạn kiệt và làm lung lay niềm tin vào cơ sở hạ tầng củng cố thị trường rộng lớn hơn.
Điều đáng chú ý là 70 tỷ USD là ước tính dựa trên việc đúc một lượng lớn USDC stablecoin và sử dụng Giao thức chuyển tiền chuỗi chéo (CCTP) của Circle để di chuyển nó qua các chuỗi. Nếu kẻ tấn công độc hại đã thực hiện điều này và với số lượng lớn như vậy thì cũng có khả năng một công ty như Circle sẽ tạm dừng việc chuyển USDC, mặc dù việc đó đã được giám sát chặt chẽ. gần đây như nhà phát hành stablecoin cho biết họ không đóng băng tài sản mà không có sự cho phép hợp pháp. Vì vậy, về mặt lý thuyết, nếu tất cả mọi người đều tham gia, toàn bộ con số 70 tỷ USD có thể sẽ không đạt được – nhưng dù sao thì nó vẫn sẽ làm rung chuyển ngành công nghiệp.
Điều mà thử nghiệm bằng chứng khái niệm này đã chứng minh là quyền truy cập vào các loại thẩm quyền đứng đầu các hệ thống chuỗi chéo: khả năng cầu nối, khả năng của người ký, vai trò chủ đạo và trạng thái kế toán giao thức. Các nhà nghiên cứu cho biết họ đã xác nhận việc tiếp quản vai trò theo phong cách thợ đúc chính và chứng minh việc sử dụng đường dẫn quản trị hợp pháp, không dừng việc tạo mã thông báo thực sự mà chỉ ra lý do tại sao những vai trò đó lại thuộc về mô hình mối đe dọa. Vectơ chi phối vào bề mặt rộng hơn chạy qua các sàn giao dịch tập trung, đặc biệt là các con đường cầu nối Aptos kết nối hoạt động trên chuỗi với tín dụng tiền gửi trao đổi.
Phản hồi và tiết lộ
Cùng ngày Hexens nộp báo cáo, một phòng chiến tranh khẩn cấp “SEAL911” đã được mở để điều phối ứng phó. SEAL911 là một nhóm bảo mật tình nguyện đã trở thành lớp phản hồi đầu tiên quan trọng trong hệ sinh thái tiền điện tử.
Nhà cung cấp đã được thông báo vài giờ sau khi phòng chiến tranh mở cửa và bốn dự án lớn ở hạ nguồn đã được cảnh báo vào chiều hôm đó, mỗi dự án đều nhận được tài liệu chứng minh khái niệm có thể chạy được tại địa phương và phân tích các mô hình thẩm quyền liên quan.
Yêu cầu kéo công khai phản ánh bản vá đã có sẵn vào ngày 27 tháng 2. Aptos tuyên bố rằng bản vá xác thực riêng tư đã được triển khai trước khi có cam kết công khai.
Trong khi đó, Hexens cho biết họ chưa nhận được phản bác kỹ thuật hoặc lập luận dựa trên bằng chứng nào phản đối các loại tác động đã được chứng minh. Công ty tuyên bố rằng mối quan tâm chính được chuyển lại cho các nhà nghiên cứu liên quan đến các khía cạnh xác suất của việc khai thác, chính xác là những gì công việc hiệu chuẩn của nhóm được thiết kế để giải quyết.
Mặc dù không có khoản tiền nào bị đánh cắp nhưng mô phỏng cho thấy rằng trong một thỏa hiệp ở cấp độ blockchain, giới hạn tỷ giá, đóng băng nhà phát hành, kiểm soát cầu nối, giám sát sàn giao dịch và bản vá xác thực không phải là biện pháp bảo vệ thứ cấp. Chúng có thể trở thành ranh giới giữa một lỗi được ngăn chặn và một hành vi khai thác trên toàn thị trường.
Xây dựng máy Zcash: Tachyon và sự sẵn sàng lượng tử
Xây dựng máy Zcash: Tachyon và sự sẵn sàng lượng tử
Bản nâng cấp Tachyon của Zcash nhằm mục đích mở rộng quy mô thanh toán được bảo vệ, cải thiện tính sẵn sàng lượng tử và kiểm tra xem liệu nguồn tài trợ, bảo mật và quản trị của nó có thể duy trì được hay không.
Bản nâng cấp Tachyon của Zcash nhằm mục đích mở rộng quy mô thanh toán được bảo vệ, cải thiện tính sẵn sàng lượng tử và kiểm tra xem liệu nguồn tài trợ, bảo mật và quản trị của nó có thể duy trì được hay không.
Tại sao nó quan trọng:
Bản nâng cấp Tachyon của Zcash nhằm mục đích mở rộng quy mô thanh toán được bảo vệ, cải thiện tính sẵn sàng lượng tử và kiểm tra xem liệu nguồn tài trợ, bảo mật và quản trị của nó có thể duy trì được hay không.


