Lỗ hổng Aptos và lời cảnh báo về rủi ro hệ thống của thị trường tài sản mã hóa

(ĐTCK) Một máy chủ chỉ khoảng 3.000 USD đã giúp các chuyên gia bảo mật phát hiện lỗ hổng nghiêm trọng trên blockchain Aptos. Dù được khắc phục kịp thời, sự cố phơi bày nguy cơ rủi ro lan rộng và những điểm yếu trong hạ tầng tài sản mã hóa.
Lỗ hổng nằm ngay trong lõi xử lý của blockchain

Một nhóm nghiên cứu bảo mật đã phát hiện ra lỗi nghiêm trọng trên mạng lưới Aptos chỉ bằng một hệ thống máy chủ chi phí thấp.

Cụ thể, các hacker mũ trắng (ethical hackers) từ công ty bảo mật chuỗi khối Hexens đã sử dụng một máy chủ trị giá khoảng 3.000 đô la Mỹ để mô phỏng một cuộc tấn công mạng. Mục tiêu của họ là Aptos, một chuỗi khối lớp 1 (mạng lưới cơ sở hạ tầng chính của một hệ sinh thái tài sản mã hóa) được xây dựng dựa trên Move - một ngôn ngữ lập trình hợp đồng thông minh bắt nguồn từ dự án Diem từng bị gác lại của Facebook.

Vào cuối tháng 2, Hexens đã báo cáo cho đội ngũ phát triển Aptos về một lỗ hổng nghiêm trọng trong máy ảo Aptos Move, nơi xử lý các hợp đồng thông minh. Họ gọi đây là lỗi "bộ đệm cũ" dẫn đến tình trạng "nhầm lẫn kiểu dữ liệu", một tình huống mà phần mềm bị đánh lừa để xử lý một loại tài nguyên trên chuỗi khối (on-chain) thành một loại tài nguyên khác.

Đội ngũ Aptos đã lập tức vá lỗ hổng này ngay khi được cảnh báo và không có bất kỳ khoản tiền nào bị mất mát. Đại diện của Aptos chia sẻ rằng họ đã nhận được thông báo thông qua chương trình săn lỗi nhận thưởng (bug bounty) vào ngày 25/2/2026. Bản vá lỗi đã được phát triển, thử nghiệm và triển khai lên mạng chính chỉ trong vài giờ.

Phía Aptos cũng phản bác về khả năng thực thi thực tế của lỗi này, cho rằng phân tích của họ chỉ ra lỗ hổng có khả năng bị khai thác cực kỳ thấp trong điều kiện thế giới thực. Tuy nhiên, ông Mudit Gupta, Giám đốc Công nghệ tại Polygon, đã xem xét độc lập các tài liệu thử nghiệm và xác nhận rằng cuộc tấn công mô phỏng này hoàn toàn có cơ sở và hoạt động đúng như những gì Hexens công bố, dù cần đáp ứng một vài điều kiện nhất định trên mạng chính.

Nguy cơ lan rộng trong hệ sinh thái tài chính liên kết

Cuộc thử nghiệm cho thấy rủi ro không chỉ dừng lại ở một nền tảng mà có thể lây lan sang toàn bộ hệ thống liên kết nếu bị kẻ xấu lợi dụng.

Nhóm nghiên cứu đã chạy thử nghiệm khoảng 20 lần trong môi trường mô phỏng và thành công tới 17 hoặc 18 lần, đạt tỷ lệ gần 90%. Môi trường này được thiết kế sát với thực tế, sử dụng hơn 30 nút xác thực (các máy chủ tham gia xác nhận giao dịch) và lưu lượng giao dịch tự nhiên.

Công ty Grego AI, một đơn vị kiểm chứng độc lập khác, đã tính toán rằng có khoảng 250 triệu đô la Mỹ tổng giá trị tài sản bị khóa (TVL - lượng tài sản người dùng gửi vào nền tảng) trên Aptos trực tiếp gặp rủi ro. Sự nguy hiểm của lỗi này nằm ở cách ngôn ngữ Move xử lý quyền hạn. Các quyền như đúc (mint - tạo ra đồng tiền mới) một đồng stablecoin (tiền mã hóa được neo giá ổn định), kiểm soát cầu nối (bridge - công cụ chuyển tài sản giữa các chuỗi khối khác nhau) thường được lưu trữ trực tiếp như một tài nguyên trên chuỗi. Nếu tài nguyên này bị xâm phạm, kẻ tấn công có thể viết đè mã độc lên các hợp đồng khác.

Từ những dữ liệu thử nghiệm này, Hexens đưa ra một suy luận mang tính ước tính rằng rủi ro hệ thống diện rộng có thể lên tới 70 tỷ đô la Mỹ. Con số khổng lồ này bao gồm các giá trị có thể tiếp cận thông qua các cầu nối, hệ thống nhắn tin đa chuỗi và các sàn giao dịch tập trung.

Ông Justus Hanna, Giám đốc Điều hành tại Grego AI, nhận định rằng, nếu những kẻ tấn công ác ý có quyền truy cập vào lỗi này, chúng có thể lấy đi toàn bộ tài sản mà chúng muốn.

Mặc dù vậy, con số 70 tỷ đô la Mỹ là một giả thuyết suy đoán dựa trên kịch bản kẻ tấn công đúc ra một lượng khổng lồ đồng stablecoin USDC và sử dụng Giao thức Chuyển tiền Đa chuỗi (CCTP) của công ty Circle để tẩu tán. Thực tế, từ góc độ vận hành, các công ty phát hành như Circle sẽ can thiệp để đóng băng giao dịch nếu phát hiện dấu hiệu bất thường quy mô lớn, dù việc này còn phụ thuộc vào các thủ tục pháp lý.

Phản ứng phối hợp và bài học về bức tường phòng thủ

Quá trình xử lý sự cố diễn ra nhanh chóng nhờ sự phối hợp chặt chẽ của các nhóm phản ứng nhanh trong không gian tiền mã hóa. Ngay trong ngày Hexens nộp báo cáo, một phòng tác chiến khẩn cấp mang tên "SEAL911" đã được mở ra. Đây là một nhóm bảo mật tình nguyện đóng vai trò như tuyến phản ứng đầu tiên của hệ sinh thái. Các dự án liên quan đã được cảnh báo vào buổi chiều cùng ngày và nhận được các tài liệu phân tích chi tiết. Đến ngày 27/2, một bản vá lỗi công khai đã được cập nhật, trong khi Aptos cho biết một bản vá nội bộ đã được triển khai từ trước đó.

Mô phỏng này chứng minh rằng ngành công nghiệp tài sản mã hóa vẫn dễ bị tổn thương trước những lỗi ẩn sâu trong công nghệ nền tảng. Nếu kẻ tấn công thực sự khai thác được lỗi này, thiệt hại theo lý thuyết có thể làm lu mờ hoàn toàn vụ tin tặc tấn công sàn Bybit trị giá 1,5 tỷ đô la Mỹ vào năm 2025.

Gần đây nhất vào tháng 6, đồng tiền Zcash cũng đã giảm giá 38% sau khi các nhà phát triển tiết lộ một lỗi nghiêm trọng tồn tại suốt 4 năm, cho phép kẻ gian in tiền giả không giới hạn mà không ai hay biết. Dù không có đồng tiền nào bị đánh cắp trong sự cố của Aptos, nhưng sự việc này cho thấy các biện pháp như giới hạn giao dịch, đóng băng tài sản hay giám sát sàn giao dịch không chỉ là những công cụ phụ trợ. Trong một cuộc tấn công cấp độ chuỗi khối, chúng chính là ranh giới sống còn giữa một lỗi kỹ thuật được kiểm soát và một thảm họa tài chính trên toàn thị trường.

Qui Ánh

Tin liên quan

Tin cùng chuyên mục