Lỗ hổng Aptos: Tốc độ của nó đã làm gia tăng $70B nguy cơ như thế nào

  • Hexens phát hiện một lỗ hổng nghiêm trọng trong Aptos và đã được vá trước khi bất kỳ khoản tiền nào được chuyển.
  • Lỗi này có thể cho phép kẻ tấn công giả mạo tài sản và đẩy chúng qua các cầu.
  • Aptos phủ nhận mức độ nghiêm trọng, nhưng CTO của Polygon đã xác thực proof-of-concept.
  • Vụ việc làm sống lại tranh luận về on-chain circuit breakers trên các L1 nhanh.

Một công ty bảo mật đã tiết lộ rằng Aptos, một trong những blockchain layer-1 nhanh hơn, đã tồn tại một lỗ hổng nghiêm trọng trong nhiều tháng trước khi được âm thầm sửa. Ngày 4/7, Hexens công khai một lỗi mà họ đã báo riêng cho Aptos từ ngày 25/2: một điểm yếu trong “động cơ” vận hành các smart contract của chuỗi. Theo ước tính của chính Hexens, lỗ hổng này tạo ra tới 70 tỷ USD rủi ro lý thuyết có thể bị kích hoạt trên các cầu, stablecoin và các sàn giao dịch được kết nối. Aptos Labs đã vá trong vòng vài giờ kể từ báo cáo đầu tiên, và chưa bao giờ có quỹ người dùng nào bị đụng tới. Vậy vì sao bản vá đã hơn năm tháng lại trở thành tin nóng lúc này? Có hai lý do. Thứ nhất là con số, rõ ràng. Nhưng thứ hai là chi tiết nằm ngay bên dưới: thứ Aptos quảng bá mạnh nhất là tốc độ thuần, và chính tốc độ thuần là yếu tố biến 70 tỷ USD từ một tiêu đề gây hoang mang thành một ước tính có thể bảo vệ được. Khoe băng thông kỷ lục, chỉ một ngày sau khi câu chuyện nổ ra Ngày 5/7, chỉ chưa đầy 24 giờ sau khi có báo cáo, tài khoản chính thức của dự án đã tiếp tục cập nhật tokenomics hàng tháng theo lịch trình, công bố 232.500 APT đã bị đốt trong 30 ngày qua, hơn 16 triệu giao dịch trong 1 ngày lập đỉnh quý mới, và phí trung bình 0,0005 USD sau khi tăng phí gấp 10 lần—tất cả dưới tagline “the full stack for markets and machines at work.” Bài đăng sẽ được hiểu hoàn toàn khác nếu đặt tiết lộ của Hexens ở phía trước, vì các giao dịch gần như “miễn phí” và mức throughput khổng lồ mà Aptos đang thúc đẩy lại chính là những thuộc tính mà một nhà nghiên cứu bảo mật cân nhắc đầu tiên khi tính xem một lỗi duy nhất trong “xương sống” của chuỗi có thể thực sự tốn bao nhiêu.

Mỗi giao dịch trên Aptos sẽ đốt $APT. Cập nhật tháng mới:

• 232,5K APT đã bị đốt trong 30 ngày gần nhất
• 1,4M tổng APT đã bị đốt kể từ mainnet
• +16M giao dịch trong 1 ngày—đỉnh quý mới
• Phí tx trung bình 0,0005 USD kể từ khi tăng phí 10x

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) July 5, 2026

Lỗi nằm dưới lớp mã mà hầu hết các cuộc audit kiểm tra Aptos được xây dựng trên Move, một ngôn ngữ lập trình được thiết kế riêng để khiến kiểu tấn công này trở nên khó hơn. Move coi token và các tài sản số khác như những “vật phẩm được bảo vệ” và kiểm tra, tại thời điểm một giao dịch chạy, rằng không có thứ gì đang được xử lý như sai loại. Lời hứa an toàn đó là một phần lớn lý do tại sao Aptos và Sui đều quảng bá Move an toàn hơn so với các môi trường cũ. Lỗi của Hexens lại trượt lọt dưới lớp “an toàn” ấy, thay vì phá vỡ nó đối đầu. Nói đơn giản, hệ thống trong một thời gian ngắn vận hành từ thông tin đã lỗi thời và kết thúc bằng việc nhầm một loại “đồ vật” on-chain này thành một loại khác. Giới bảo mật gọi đó là “type confusion”—một vấn đề phần mềm cũ, khi một chương trình đọc thứ gì đó như sai kiểu dữ liệu và cứ thế bước qua các kiểm tra vốn được thiết kế để ngăn chặn. Trên blockchain, sự nhầm lẫn đó cực kỳ nguy hiểm: kẻ tấn công có thể ngụy trang một “món hàng” độc hại thành hợp pháp và lừa mạng đọc nhầm ai là người sở hữu một tài sản và ai được phép chuyển nó. CTO của Polygon, Mudit Gupta, đã tự mình rà soát proof-of-concept một cách độc lập và cho CoinDesk biết nó chạy đúng như tuyên bố, kèm theo điều kiện rằng một vài yếu tố phải trùng khớp trước. Xuất phát từ vị trí đứng đầu bộ phận an ninh của một chuỗi đối thủ, điều này có trọng lượng hơn bất cứ điều gì Aptos hay Hexens có thể nói một mình. Vì phí rẻ và khối lượng lớn khiến lỗi trở nên tệ hơn Thông lượng ở đây không còn là khẩu hiệu marketing nữa, mà bắt đầu vận hành như một “hệ số nhân rủi ro.” Hexens thực hiện cuộc tấn công trên một cụm hơn 30 node validator, được thiết lập để mô phỏng mạng thực, trên một rig máy chủ tốn khoảng 3.000 USD và đóng vai trò khoảng một phần ba tập hợp validator. Kết quả đạt 17 hoặc 18 lần trên 20, không cần truy cập nội bộ hay quyền đặc biệt. Gộp các con số thực tế vào thì bức tranh trở nên sắc nét. Chỉ với một phần trăm của một cent mỗi giao dịch, việc “đổ” chain bằng các payload độc hại gần như là miễn phí. Với 16 triệu giao dịch mỗi ngày, trong khi block được xác nhận trong vài giây, một kẻ tấn công có thể giả mạo tài sản chỉ cần một cửa sổ ngắn để tạo chúng và chuyển đi trước khi ai kịp phản ứng. Tốc độ là trung lập. Cỗ máy tương tự giúp xử lý lượng giao dịch hợp pháp trong vài giây cũng sẽ xử lý một lượt “mint rồi chuyển” giả mạo với cùng tốc độ, và con người vận hành mạng không thể phản ứng nhanh đến vậy. Đó chính là phần mà bài đăng về chỉ số “đốt” đã vô tình nhấn mạnh. Hai con số rất khác nhau, và vì sao khoảng cách đó quan trọng Có hai con số xuất hiện, và coi chúng là một là cách câu chuyện bị bóp méo. Con số nhỏ hơn ở quanh 250 triệu USD—giá trị bị đánh giá là trực tiếp rủi ro trong các ứng dụng Aptos DeFi bởi công ty độc lập Grego AI. Con số lớn hơn là 70 tỷ USD, và nó chỉ xuất hiện khi lần theo lỗi lan ra ngoài thông qua các cầu xuyên chuỗi như Wormhole và LayerZero, các hệ thống stablecoin, và các sàn giao dịch giao dịch APT cũng như các phiên bản bọc (wrapped) của nó. Các cầu là điểm yếu mềm. Chúng gom tài sản từ nhiều chuỗi cùng lúc, nên một sự kiện giả mạo tài sản bắt đầu ở Aptos—trong trường hợp mô hình tệ nhất—có thể rút tiền mà ban đầu đến từ Ethereum. 70 tỷ USD là tổng rủi ro theo kịch bản tệ nhất được xây trên một chồng giả định, chứ không phải tiền mặt từng nằm đó sẵn để “lấy sạch” trong một lần chuyển.

| Con số | | --- | Nó đại diện cho điều gì | Nguồn | | --- | --- | --- | | 250 triệu USD | Giá trị trong các ứng dụng Aptos DeFi ở trực tiếp rủi ro | Grego AI | | 70 tỷ USD | Rủi ro hệ thống theo kịch bản tệ nhất trên các cầu, stablecoin, sàn giao dịch | Hexens | | 3.000 USD | Chi phí server để mô phỏng xấp xỉ một phần ba validator | Hexens | | 1 triệu USD | Mức trần phần thưởng tối đa cho bug Aptos | Chương trình bug bounty của Aptos |

Aptos Labs không tranh cãi về chính bản thân báo cáo. Họ xác nhận thông báo ngày 25/2 thông qua chương trình bug bounty và nói rằng vấn đề đã được xử lý từ trước trong nội bộ. Phần họ tranh cãi là mức độ nghiêm trọng: họ lập luận rằng điều kiện vận hành thực tế khiến việc khai thác khó hơn nhiều so với những gì bộ test thể hiện, và đặt khả năng khai thác ngoài đời ở mức “cực kỳ thấp.” Khẳng định đó lại đi thẳng vào phần xác thực độc lập của Gupta, và hai lập trường chưa được hòa giải công khai. Có một khoảng trống thứ hai đáng được nêu bật, và đó là về động lực—không phải về code. Trần thưởng chỉ là 1 triệu USD. Một lỗ hổng dạng này trên thị trường đen có thể đem về nhiều lần con số đó, và Hexens vẫn công bố dù vậy—đó chính là toàn bộ ý nghĩa của việc chạy bug bounty.

| Cách đọc về mối đe dọa hệ thống | | --- | Cách đọc về khả năng chống chịu | | Cấu hình 3.000 USD có thể đe dọa một L1 hàng đầu | Đã vá trong vài giờ, không gây gián đoạn mạng | | Lỗi lõi gợi ý rủi ro theo nhóm đối với các chain dùng Move | Aptos nói điều kiện thực tế khiến khả năng khai thác rất thấp | | Một lỗi có thể chạm tới tài sản trên cầu và stablecoin | Phần thưởng bug dẫn tới kết quả kiểu “white-hat” thay vì bán |

Những gì biểu đồ APT đang làm trong lúc cuộc tranh luận diễn ra Các trader nhìn chung đã phớt lờ chuyện này. Trên biểu đồ Aptos/USD khung 4 giờ từ Coinbase,** được trích qua TradingView,** APT đổi tay quanh 0,635 USD vào ngày 7/7, giữ trên đường trung bình động 50 kỳ ở 0,6061 USD và đường 100 kỳ ở 0,6147 USD, đồng thời gặp cản trở từ đường trung bình 200 kỳ ở 0,6410 USD ở phía trên. Đường trung bình động chỉ là giá đóng cửa trung bình trên từng ấy nến, và cấu trúc này cho thấy một nhịp bật thực sự, nhưng nó vẫn chưa vượt qua xu hướng giảm lớn hơn—xu hướng đã kéo APT từ khoảng 1,00 USD giữa tháng 5 về gần 0,55 USD. RSI—chỉ số đo lực mua chạy từ 0 đến 100—đứng ở 58,77, cao hơn mốc trung tính 50 nhưng không hề gần đường 70 báo hiệu thị trường quá nóng. CoinMarketCap ghi nhận APT tăng 9,91% trong tuần ở mức 0,6339 USD, nên việc công bố dường như giống một yếu tố tạo “sức nặng” cho tâm lý hơn là một cú kích hoạt cho việc bán tháo thực sự. Bản vá sẽ sống dai qua chu kỳ tin tức này Những người xây dựng đang gánh phần việc ở thời gian gần. Bất kỳ ai chạy một ứng dụng trên Aptos đều có lý do để rà soát lại cách code của họ xử lý kiểu “edge case” mà Hexens phát hiện, và các nhà đầu tư lớn có thể vẫn giữ một mức phụ phí rủi ro cao hơn một chút đối với các token dựa trên Move như APT và SUI trong lúc họ xem lại nền tảng của mạng. Tuy nhiên, có hai thứ nhiều khả năng sẽ còn tồn tại sau khi loạt tin phủ sóng tắt. Thứ nhất là trần thưởng. Con số 1 triệu USD ngày càng trông nhỏ bé cạnh giá trị nó được dùng để bảo vệ, và các dự án cạnh tranh với người mua trên thị trường đen có thể chẳng còn lựa chọn nào khác ngoài việc nâng nó. Thứ hai là sự thay đổi trong câu hỏi mà các nhà nghiên cứu thực sự đặt ra. Trong nhiều năm, “quyền khoe” thường xoay quanh chuyện một chain đẩy qua được bao nhiêu giao dịch. Sự cố này lại đẩy trọng tâm sang kỹ năng ngược lại: mạng có thể tự dừng mình nhanh đến mức nào. Các chain nhanh ngày càng cần các “kill switches” tự động để đóng băng chuyển khoản xuyên chuỗi ngay khi có điều gì đó trông không ổn, bởi vì chỉ cần một con người nhận ra thì các giao dịch đã có thể đi xuyên qua rồi. Aptos sắp tự chạy thử nghiệm đó. Một đề xuất nhằm ẩn chi tiết giao dịch cho đến khi xác nhận xong—làm cho front-running khó hơn—đang được đưa vào quy trình bỏ phiếu trong cộng đồng, trong khi các nâng cấp khác lại theo đuổi thời gian xác nhận thậm chí nhanh hơn. Mỗi thay đổi trong số đó đều tăng tốc và tăng giá trị đang bị đặt rủi ro, đúng tổ hợp mà phần tiết lộ của Hexens đã cho thấy có thể biến một lỗi đơn lẻ thành rủi ro hệ thống. Liệu khoảnh khắc bảo mật tiếp theo của Move sẽ được đọc như một lời trấn an hay là một lần lặp lại, đều phụ thuộc vào một điều: liệu các nâng cấp này có được tích hợp sẵn những biện pháp phòng vệ như vụ việc này đã lập luận ra cần thiết không.a

Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim