Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
CFD
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
CFD
Phái sinh Hợp đồng Chênh lệch Cổ phiếu
Cổ phiếu Hoa Kỳ
Tiếp cận cổ phiếu và quỹ ETF thực của Hoa Kỳ
Cổ phiếu Hongkong
Giao dịch cổ phiếu chất lượng được niêm yết tại Hongkong
Cổ phiếu Hàn Quốc
SK Hynix
Giao dịch cổ phiếu Hàn Quốc thực và đầu tư vào các tài sản phổ biến
Futures cổ phiếu
Đòn bẩy cao, giao dịch 24/7
Cổ phiếu token hóa
Được hỗ trợ bởi tài sản cổ phiếu thực
IPO Access
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
GUSD
3.8%
Đúc GUSD để nhận lợi suất từ RWA kho bạc
Hoạt động cổ phiếu
Giao dịch cổ phiếu phổ biến và nhận airdrop hấp dẫn
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
IPO Access
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Kế hoạch tăng trưởng tài sản cao cấp
Gate Wealth
Nắm quyền kiểm soát tương lai tài chính của bạn
Quỹ định lượng
Chiến lược định lượng hàng đầu
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
Đòn bẩy không thanh lý
GUSD
3.8%
Đúc GUSD để nhận lợi suất từ RWA kho bạc
Khuyến mãi
AI
Gate AI
Trợ lý AI đa năng đồng hành cùng bạn
Gate AI Bot
Sử dụng Gate AI trực tiếp trong ứng dụng xã hội của bạn
GateClaw
Gate Tôm hùm xanh, mở hộp là dùng ngay
Gate for AI Agent
Hạ tầng AI, Gate MCP, Skills và CLI
Gate Skills Hub
Hơn 10.000 kỹ năng
Từ văn phòng đến giao dịch, thư viện kỹ năng một cửa giúp AI tiện lợi hơn
Lỗ hổng Aptos: Tốc độ của nó đã làm gia tăng $70B nguy cơ như thế nào
Một công ty bảo mật đã tiết lộ rằng Aptos, một trong những blockchain layer-1 nhanh hơn, đã tồn tại một lỗ hổng nghiêm trọng trong nhiều tháng trước khi được âm thầm sửa. Ngày 4/7, Hexens công khai một lỗi mà họ đã báo riêng cho Aptos từ ngày 25/2: một điểm yếu trong “động cơ” vận hành các smart contract của chuỗi. Theo ước tính của chính Hexens, lỗ hổng này tạo ra tới 70 tỷ USD rủi ro lý thuyết có thể bị kích hoạt trên các cầu, stablecoin và các sàn giao dịch được kết nối. Aptos Labs đã vá trong vòng vài giờ kể từ báo cáo đầu tiên, và chưa bao giờ có quỹ người dùng nào bị đụng tới. Vậy vì sao bản vá đã hơn năm tháng lại trở thành tin nóng lúc này? Có hai lý do. Thứ nhất là con số, rõ ràng. Nhưng thứ hai là chi tiết nằm ngay bên dưới: thứ Aptos quảng bá mạnh nhất là tốc độ thuần, và chính tốc độ thuần là yếu tố biến 70 tỷ USD từ một tiêu đề gây hoang mang thành một ước tính có thể bảo vệ được. Khoe băng thông kỷ lục, chỉ một ngày sau khi câu chuyện nổ ra Ngày 5/7, chỉ chưa đầy 24 giờ sau khi có báo cáo, tài khoản chính thức của dự án đã tiếp tục cập nhật tokenomics hàng tháng theo lịch trình, công bố 232.500 APT đã bị đốt trong 30 ngày qua, hơn 16 triệu giao dịch trong 1 ngày lập đỉnh quý mới, và phí trung bình 0,0005 USD sau khi tăng phí gấp 10 lần—tất cả dưới tagline “the full stack for markets and machines at work.” Bài đăng sẽ được hiểu hoàn toàn khác nếu đặt tiết lộ của Hexens ở phía trước, vì các giao dịch gần như “miễn phí” và mức throughput khổng lồ mà Aptos đang thúc đẩy lại chính là những thuộc tính mà một nhà nghiên cứu bảo mật cân nhắc đầu tiên khi tính xem một lỗi duy nhất trong “xương sống” của chuỗi có thể thực sự tốn bao nhiêu.
Mỗi giao dịch trên Aptos sẽ đốt $APT. Cập nhật tháng mới:
• 232,5K APT đã bị đốt trong 30 ngày gần nhất
• 1,4M tổng APT đã bị đốt kể từ mainnet
• +16M giao dịch trong 1 ngày—đỉnh quý mới
• Phí tx trung bình 0,0005 USD kể từ khi tăng phí 10x
The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) July 5, 2026
Lỗi nằm dưới lớp mã mà hầu hết các cuộc audit kiểm tra Aptos được xây dựng trên Move, một ngôn ngữ lập trình được thiết kế riêng để khiến kiểu tấn công này trở nên khó hơn. Move coi token và các tài sản số khác như những “vật phẩm được bảo vệ” và kiểm tra, tại thời điểm một giao dịch chạy, rằng không có thứ gì đang được xử lý như sai loại. Lời hứa an toàn đó là một phần lớn lý do tại sao Aptos và Sui đều quảng bá Move an toàn hơn so với các môi trường cũ. Lỗi của Hexens lại trượt lọt dưới lớp “an toàn” ấy, thay vì phá vỡ nó đối đầu. Nói đơn giản, hệ thống trong một thời gian ngắn vận hành từ thông tin đã lỗi thời và kết thúc bằng việc nhầm một loại “đồ vật” on-chain này thành một loại khác. Giới bảo mật gọi đó là “type confusion”—một vấn đề phần mềm cũ, khi một chương trình đọc thứ gì đó như sai kiểu dữ liệu và cứ thế bước qua các kiểm tra vốn được thiết kế để ngăn chặn. Trên blockchain, sự nhầm lẫn đó cực kỳ nguy hiểm: kẻ tấn công có thể ngụy trang một “món hàng” độc hại thành hợp pháp và lừa mạng đọc nhầm ai là người sở hữu một tài sản và ai được phép chuyển nó. CTO của Polygon, Mudit Gupta, đã tự mình rà soát proof-of-concept một cách độc lập và cho CoinDesk biết nó chạy đúng như tuyên bố, kèm theo điều kiện rằng một vài yếu tố phải trùng khớp trước. Xuất phát từ vị trí đứng đầu bộ phận an ninh của một chuỗi đối thủ, điều này có trọng lượng hơn bất cứ điều gì Aptos hay Hexens có thể nói một mình. Vì phí rẻ và khối lượng lớn khiến lỗi trở nên tệ hơn Thông lượng ở đây không còn là khẩu hiệu marketing nữa, mà bắt đầu vận hành như một “hệ số nhân rủi ro.” Hexens thực hiện cuộc tấn công trên một cụm hơn 30 node validator, được thiết lập để mô phỏng mạng thực, trên một rig máy chủ tốn khoảng 3.000 USD và đóng vai trò khoảng một phần ba tập hợp validator. Kết quả đạt 17 hoặc 18 lần trên 20, không cần truy cập nội bộ hay quyền đặc biệt. Gộp các con số thực tế vào thì bức tranh trở nên sắc nét. Chỉ với một phần trăm của một cent mỗi giao dịch, việc “đổ” chain bằng các payload độc hại gần như là miễn phí. Với 16 triệu giao dịch mỗi ngày, trong khi block được xác nhận trong vài giây, một kẻ tấn công có thể giả mạo tài sản chỉ cần một cửa sổ ngắn để tạo chúng và chuyển đi trước khi ai kịp phản ứng. Tốc độ là trung lập. Cỗ máy tương tự giúp xử lý lượng giao dịch hợp pháp trong vài giây cũng sẽ xử lý một lượt “mint rồi chuyển” giả mạo với cùng tốc độ, và con người vận hành mạng không thể phản ứng nhanh đến vậy. Đó chính là phần mà bài đăng về chỉ số “đốt” đã vô tình nhấn mạnh. Hai con số rất khác nhau, và vì sao khoảng cách đó quan trọng Có hai con số xuất hiện, và coi chúng là một là cách câu chuyện bị bóp méo. Con số nhỏ hơn ở quanh 250 triệu USD—giá trị bị đánh giá là trực tiếp rủi ro trong các ứng dụng Aptos DeFi bởi công ty độc lập Grego AI. Con số lớn hơn là 70 tỷ USD, và nó chỉ xuất hiện khi lần theo lỗi lan ra ngoài thông qua các cầu xuyên chuỗi như Wormhole và LayerZero, các hệ thống stablecoin, và các sàn giao dịch giao dịch APT cũng như các phiên bản bọc (wrapped) của nó. Các cầu là điểm yếu mềm. Chúng gom tài sản từ nhiều chuỗi cùng lúc, nên một sự kiện giả mạo tài sản bắt đầu ở Aptos—trong trường hợp mô hình tệ nhất—có thể rút tiền mà ban đầu đến từ Ethereum. 70 tỷ USD là tổng rủi ro theo kịch bản tệ nhất được xây trên một chồng giả định, chứ không phải tiền mặt từng nằm đó sẵn để “lấy sạch” trong một lần chuyển.
| Con số | | --- | Nó đại diện cho điều gì | Nguồn | | --- | --- | --- | | 250 triệu USD | Giá trị trong các ứng dụng Aptos DeFi ở trực tiếp rủi ro | Grego AI | | 70 tỷ USD | Rủi ro hệ thống theo kịch bản tệ nhất trên các cầu, stablecoin, sàn giao dịch | Hexens | | 3.000 USD | Chi phí server để mô phỏng xấp xỉ một phần ba validator | Hexens | | 1 triệu USD | Mức trần phần thưởng tối đa cho bug Aptos | Chương trình bug bounty của Aptos |
Aptos Labs không tranh cãi về chính bản thân báo cáo. Họ xác nhận thông báo ngày 25/2 thông qua chương trình bug bounty và nói rằng vấn đề đã được xử lý từ trước trong nội bộ. Phần họ tranh cãi là mức độ nghiêm trọng: họ lập luận rằng điều kiện vận hành thực tế khiến việc khai thác khó hơn nhiều so với những gì bộ test thể hiện, và đặt khả năng khai thác ngoài đời ở mức “cực kỳ thấp.” Khẳng định đó lại đi thẳng vào phần xác thực độc lập của Gupta, và hai lập trường chưa được hòa giải công khai. Có một khoảng trống thứ hai đáng được nêu bật, và đó là về động lực—không phải về code. Trần thưởng chỉ là 1 triệu USD. Một lỗ hổng dạng này trên thị trường đen có thể đem về nhiều lần con số đó, và Hexens vẫn công bố dù vậy—đó chính là toàn bộ ý nghĩa của việc chạy bug bounty.
| Cách đọc về mối đe dọa hệ thống | | --- | Cách đọc về khả năng chống chịu | | Cấu hình 3.000 USD có thể đe dọa một L1 hàng đầu | Đã vá trong vài giờ, không gây gián đoạn mạng | | Lỗi lõi gợi ý rủi ro theo nhóm đối với các chain dùng Move | Aptos nói điều kiện thực tế khiến khả năng khai thác rất thấp | | Một lỗi có thể chạm tới tài sản trên cầu và stablecoin | Phần thưởng bug dẫn tới kết quả kiểu “white-hat” thay vì bán |
Những gì biểu đồ APT đang làm trong lúc cuộc tranh luận diễn ra Các trader nhìn chung đã phớt lờ chuyện này. Trên biểu đồ Aptos/USD khung 4 giờ từ Coinbase,** được trích qua TradingView,** APT đổi tay quanh 0,635 USD vào ngày 7/7, giữ trên đường trung bình động 50 kỳ ở 0,6061 USD và đường 100 kỳ ở 0,6147 USD, đồng thời gặp cản trở từ đường trung bình 200 kỳ ở 0,6410 USD ở phía trên. Đường trung bình động chỉ là giá đóng cửa trung bình trên từng ấy nến, và cấu trúc này cho thấy một nhịp bật thực sự, nhưng nó vẫn chưa vượt qua xu hướng giảm lớn hơn—xu hướng đã kéo APT từ khoảng 1,00 USD giữa tháng 5 về gần 0,55 USD.
RSI—chỉ số đo lực mua chạy từ 0 đến 100—đứng ở 58,77, cao hơn mốc trung tính 50 nhưng không hề gần đường 70 báo hiệu thị trường quá nóng. CoinMarketCap ghi nhận APT tăng 9,91% trong tuần ở mức 0,6339 USD, nên việc công bố dường như giống một yếu tố tạo “sức nặng” cho tâm lý hơn là một cú kích hoạt cho việc bán tháo thực sự.
Bản vá sẽ sống dai qua chu kỳ tin tức này
Những người xây dựng đang gánh phần việc ở thời gian gần. Bất kỳ ai chạy một ứng dụng trên Aptos đều có lý do để rà soát lại cách code của họ xử lý kiểu “edge case” mà Hexens phát hiện, và các nhà đầu tư lớn có thể vẫn giữ một mức phụ phí rủi ro cao hơn một chút đối với các token dựa trên Move như APT và SUI trong lúc họ xem lại nền tảng của mạng.
Tuy nhiên, có hai thứ nhiều khả năng sẽ còn tồn tại sau khi loạt tin phủ sóng tắt. Thứ nhất là trần thưởng. Con số 1 triệu USD ngày càng trông nhỏ bé cạnh giá trị nó được dùng để bảo vệ, và các dự án cạnh tranh với người mua trên thị trường đen có thể chẳng còn lựa chọn nào khác ngoài việc nâng nó. Thứ hai là sự thay đổi trong câu hỏi mà các nhà nghiên cứu thực sự đặt ra. Trong nhiều năm, “quyền khoe” thường xoay quanh chuyện một chain đẩy qua được bao nhiêu giao dịch. Sự cố này lại đẩy trọng tâm sang kỹ năng ngược lại: mạng có thể tự dừng mình nhanh đến mức nào. Các chain nhanh ngày càng cần các “kill switches” tự động để đóng băng chuyển khoản xuyên chuỗi ngay khi có điều gì đó trông không ổn, bởi vì chỉ cần một con người nhận ra thì các giao dịch đã có thể đi xuyên qua rồi.
Aptos sắp tự chạy thử nghiệm đó. Một đề xuất nhằm ẩn chi tiết giao dịch cho đến khi xác nhận xong—làm cho front-running khó hơn—đang được đưa vào quy trình bỏ phiếu trong cộng đồng, trong khi các nâng cấp khác lại theo đuổi thời gian xác nhận thậm chí nhanh hơn. Mỗi thay đổi trong số đó đều tăng tốc và tăng giá trị đang bị đặt rủi ro, đúng tổ hợp mà phần tiết lộ của Hexens đã cho thấy có thể biến một lỗi đơn lẻ thành rủi ro hệ thống. Liệu khoảnh khắc bảo mật tiếp theo của Move sẽ được đọc như một lời trấn an hay là một lần lặp lại, đều phụ thuộc vào một điều: liệu các nâng cấp này có được tích hợp sẵn những biện pháp phòng vệ như vụ việc này đã lập luận ra cần thiết không.a