Hexens phát hiện lỗ hổng nhầm lẫn kiểu dữ liệu trên Aptos, tỷ lệ thành công tấn công gần 90%.

APT0,16%

Công ty an ninh mạng Hexens, CTO Vahe Karapetyan, vào ngày 5 tháng 7 đã phát hiện lỗ hổng bộ nhớ đệm cũ kỹ (stale-cache bug) trong Máy ảo Move của blockchain Aptos, gây ra nhầm lẫn kiểu dữ liệu (type confusion); lỗ hổng này có thể đánh lừa phần mềm vượt qua các đảm bảo an toàn kiểu dữ liệu của ngôn ngữ Move. Hexens đã dựng môi trường mô phỏng với máy chủ trị giá khoảng 3.000 USD, và trong 20 lần thử nghiệm, tỷ lệ tấn công thành công gần 90%.

Máy chủ 3.000 USD, 20 lần mô phỏng, 17-18 lần thành công, tỷ lệ tấn công gần 90%

Theo báo cáo kỹ thuật của Hexens, nhóm của Karapetyan đã tự xây dựng môi trường mô phỏng gần với quy mô mainnet để xác minh tính khả thi của lỗ hổng: hơn 30 nút xác thực, phân bố staking gần giống mainnet, lưu lượng giao dịch thực và cạnh tranh thực thi cường độ cao, chi phí dựng khoảng 3.000 USD; nếu thực hiện tấn công thực tế, chi phí sẽ còn thấp hơn và không yêu cầu quyền xác thực, kiến thức nội bộ hay quyền truy cập đặc biệt.

Hexens đã thử nghiệm khoảng 20 lần trong môi trường mô phỏng, thành công 17-18 lần, tỷ lệ gần 90%; dù có 2-3 lần thất bại, mạng vẫn không bị gián đoạn, kẻ tấn công có thể kiên nhẫn chờ cơ hội tiếp theo.

SEAL911 can thiệp, vá lỗi trong vòng vài giờ và thông báo cho các dự án hạ nguồn

Theo thông báo chính thức từ Aptos và báo cáo của CoinDesk, Hexens đã báo cáo lỗ hổng vào ngày 25 tháng 2 năm 2026 thông qua chương trình bug bounty của Aptos; Aptos cho biết khi nhận được báo cáo, đội ngũ nội bộ đã đang xử lý vấn đề này. Đội ứng phó khẩn cấp tình nguyện trong ngành tiền điện tử SEAL911 đã mở phòng tác chiến trong cùng ngày; chiều cùng ngày, Aptos thông báo cho các bên bị ảnh hưởng và 4 dự án hạ nguồn chính, kèm theo mã khai thác chứng minh khái niệm (PoC) có thể chạy cục bộ.

Aptos nói với CoinDesk: "Bản vá đã được phát triển, kiểm thử và triển khai lên mainnet trong vòng vài giờ sau khi phát hiện, toàn bộ quá trình không ảnh hưởng đến người dùng hay quỹ nào." Pull request vá công khai được đưa lên vào ngày 27 tháng 2, nhưng các nút xác thực riêng tư đã được vá trước khi có commit công khai.

CTO của Polygon Mudit Gupta và Grego AI xác minh độc lập PoC có hiệu quả

Theo báo cáo của CoinDesk, đánh giá của Aptos chính thức và Hexens có sự khác biệt rõ rệt: Aptos cho rằng "phân tích cho thấy lỗ hổng này rất khó khai thác trong điều kiện thực tế", Hexens đáp lại rằng đến nay chưa nhận được bất kỳ phản biện kỹ thuật nào dựa trên bằng chứng.

CTO của Polygon Mudit Gupta sau khi xem xét độc lập PoC cho biết: "Nó hoạt động như tuyên bố, lỗ hổng có lý... cần đáp ứng một số điều kiện, có vẻ họ đã đạt được trên mainnet."

Tổ chức độc lập Grego AI xác minh PoC, CEO Justus Hanna nói thẳng: "Nếu kẻ xấu có được lỗ hổng này, chúng có thể lấy bất kỳ TVL (tổng giá trị bị khóa) nào chúng muốn."

Ước tính rủi ro: TVL gốc của Aptos chịu rủi ro trực tiếp khoảng 250 triệu USD

Theo đánh giá của Hexens và Grego AI, quy mô rủi ro của lỗ hổng này được chia thành hai cấp độ:

Rủi ro trực tiếp TVL gốc Aptos (đánh giá của Grego AI): Dựa trên tỷ lệ tấn công thành công gần 90%, khoảng 250 triệu USD TVL gốc của Aptos bị đe dọa trực tiếp, không bao gồm rủi ro xuyên chuỗi.

Rủi ro hệ thống (đánh giá của Hexens): Lên tới 70 tỷ USD, bao gồm cầu nối xuyên chuỗi, hệ thống nhắn tin xuyên chuỗi, quy trình phát hành stablecoin và tài sản có thể tiếp cận qua sàn giao dịch tập trung; con số này dựa trên giả định kẻ tấn công phát hành số lượng lớn USDC và chuyển tài sản sang các chuỗi khác thông qua Giao thức chuyển tiền xuyên chuỗi (CCTP) của Circle.

Giới hạn của Circle: Circle cho biết sẽ không đóng băng tài sản nếu không có ủy quyền pháp lý, nghĩa là nếu các bên can thiệp kịp thời, khả năng rủi ro 70 tỷ USD được hiện thực hóa hoàn toàn là hạn chế.

Rủi ro lan truyền theo chuỗi tin cậy: Các quyền quan trọng trong ngôn ngữ Move (đúc stablecoin, kiểm soát cầu nối xuyên chuỗi, quản lý thị trường cho vay) được lưu trữ dưới dạng "tài nguyên on-chain", một khi bị chiếm quyền, thiệt hại sẽ lan truyền theo chuỗi tin cậy đến tất cả các hệ thống phụ thuộc.

Hexens trong thử nghiệm thực tế đã từng chiếm quyền vai trò tương tự "master minter", thao tác theo đường quản lý hợp pháp, dừng lại trước khi thực sự đúc tiền, nhưng đã đủ chứng minh những vai trò như vậy cần được đưa vào mô hình mối đe dọa đầy đủ.

Câu hỏi thường gặp

Lỗ hổng Aptos Move VM là gì và hoạt động như thế nào?

Theo báo cáo kỹ thuật của Hexens, đây là "lỗ hổng bộ nhớ đệm cũ kỹ (stale-cache bug)" dẫn đến "nhầm lẫn kiểu dữ liệu (type confusion)"; phần mềm bị đánh lừa nhận dạng tài nguyên on-chain này thành loại khác, vượt qua các đảm bảo an toàn kiểu dữ liệu của ngôn ngữ Move, tương đương cho phép mã do kẻ tấn công kiểm soát ghi trực tiếp vào không gian lưu trữ của hợp đồng khác.

Lỗ hổng này đã được vá chưa, và thời gian vá là bao lâu?

Theo tuyên bố chính thức của Aptos, lỗ hổng được báo cáo vào ngày 25 tháng 2 năm 2026, và trong vòng vài giờ sau đó bản vá đã được phát triển, kiểm thử và triển khai lên mainnet; các nút xác thực riêng tư đã được vá sớm hơn; PR công khai được đưa lên vào ngày 27 tháng 2; Aptos cho biết toàn bộ quá trình không ảnh hưởng đến người dùng hay quỹ.

Rủi ro hệ thống 70 tỷ USD mà Hexens đánh giá được tính như thế nào?

Theo đánh giá của Hexens, 70 tỷ USD bao gồm cầu nối xuyên chuỗi, hệ thống nhắn tin xuyên chuỗi, phát hành stablecoin và tài sản có thể tiếp cận qua sàn giao dịch tập trung; giả định là kẻ tấn công phát hành số lượng lớn USDC và chuyển sang các chuỗi khác qua Circle CCTP. Circle cho biết sẽ không đóng băng tài sản nếu không có ủy quyền pháp lý, nếu các bên can thiệp kịp thời, khả năng hiện thực hóa rủi ro hoàn toàn là hạn chế.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.
Bình luận
0/400
Không có bình luận