Key Takeaways:
- Các nhà nghiên cứu của Hexens đã báo cáo riêng lỗi bộ nhớ đệm hết hạn vào tháng 2
- Lỗ hổng có thể gây nguy hiểm cho tới 70 tỷ USD tài sản số được bridge
- Aptos đã vá lỗ hổng trước khi bất kỳ cuộc tấn công nào xảy ra
Key Takeaways:

Aptos đã vá một lỗ hổng bảo mật nghiêm trọng trong máy ảo Move của mình, mà các nhà nghiên cứu bảo mật cho biết có thể khiến tới 70 tỷ USD tài sản số đối mặt với rủi ro hệ thống.
"Sự cố bộ nhớ đệm hết hạn cho phép dữ liệu cũ tồn tại giữa các ngữ cảnh thực thi, có khả năng cho phép kẻ tấn công thao túng trạng thái tài sản," nhóm Hexens cho biết trong một tuyên bố gửi tới CoinDesk.
Lỗi này đã được Hexens, một công ty bảo mật chuyên về kiểm toán giao thức blockchain, báo cáo riêng cho các nhà phát triển Aptos vào cuối tháng 2. Lỗ hổng nằm ở lớp bộ nhớ đệm của Move VM, nơi dữ liệu đã hết hạn có thể được phục vụ từ bộ nhớ đệm thay vì được tính toán mới, tạo ra một kẽ hở cho việc thao túng trạng thái trong quá trình thực thi hợp đồng thông minh. Aptos đã triển khai bản vá vào ngày 5 tháng 7 sau nhiều tháng phối hợp phát triển và thử nghiệm, và không có khoản tiền nào bị mất.
Bản vá loại bỏ thứ có thể là một vector thất bại thảm khốc đối với hệ sinh thái Aptos, nơi lưu trữ hàng tỷ tài sản được bridge từ Ethereum, Solana và các chuỗi khác. Sự việc cho thấy gánh nặng bảo mật ngày càng tăng trên các nền tảng L1 khi cầu nối cross-chain và phát hành stablecoin mở rộng quy mô — một động lực sẽ càng gia tăng khi nhiều tài sản trong thế giới thực hơn được chuyển lên on-chain.
Aptos, sử dụng ngôn ngữ lập trình Move vốn được phát triển tại dự án Diem của Meta, đã định vị mình như một giải pháp thay thế thông lượng cao cho Ethereum. Tổng giá trị bị khóa (TVL) của mạng lưới trên các giao thức DeFi đạt khoảng 1,2 tỷ USD tính đến đầu tháng 7, theo dữ liệu từ DefiLlama, với giá trị bổ sung chảy qua các đại diện được bridge của USDC, USDT và wrapped Ether. Lỗ hổng bộ nhớ đệm hết hạn, nếu bị khai thác, có thể cho phép kẻ tấn công rút cạn các pool này bằng cách thao túng dữ liệu trạng thái được lưu trong bộ nhớ đệm qua các ranh giới giao dịch.
Ước tính mức độ rủi ro 70 tỷ USD phản ánh tổng giá trị tài sản được bridge đến hoặc phát hành trên mạng lưới Aptos, bao gồm stablecoin và các đại diện cross-chain của các loại tiền điện tử lớn. Mặc dù TVL thực tế trên Aptos thấp hơn, bản chất liên kết của các cầu nối cross-chain có nghĩa là sự xâm phạm trên một L1 có thể lan truyền sang các mạng lưới kết nối — một rủi ro đã thu hút sự giám sát ngày càng tăng từ các kiểm toán viên bảo mật và nhà cung cấp bảo hiểm. Bản vá được phát hành trong bối cảnh thị trường tiền điện tử rộng lớn hơn đang phải đối mặt với nhận thức bảo mật được nâng cao sau một số vụ khai thác cầu nối lớn trong năm 2025 và 2026.
Đối với Aptos, việc tiết lộ phối hợp thành công là một tín hiệu tích cực cho việc chấp nhận từ các tổ chức. Mạng lưới này đang thu hút các tổ chức tài chính truyền thống với kiến trúc dựa trên Move của mình, nơi nhấn mạnh vào xác minh chính thức và các đảm bảo an toàn. Một vụ khai thác công khai có thể đã phá hỏng những nỗ lực đó. Thay vào đó, bản vá lặng lẽ cho phép nền tảng duy trì câu chuyện về bảo mật của mình khi cạnh tranh với Ethereum, Solana và Sui để giành thị phần nhà phát triển trong hệ sinh thái Move.
Bài viết này chỉ nhằm mục đích cung cấp thông tin và không cấu thành lời khuyên đầu tư.