
Một máy chủ 3.000 USD suýt kích hoạt thảm họa tiền mã hóa 70 tỷ USD.
Tuyển chọn TechFlowTuyển chọn TechFlow

Một máy chủ 3.000 USD suýt kích hoạt thảm họa tiền mã hóa 70 tỷ USD.
Hacker mũ trắng đã phát hiện một lỗ hổng rủi ro trị giá 70 tỷ USD trên blockchain Aptos, trong khi chi phí tấn công chỉ cần 3000 USD.
Viết: Oliver Knight
Biên dịch: Chopper, Foresight News
Một máy chủ trị giá 3.000 đô la là đủ để một nhà nghiên cứu bảo mật blockchain mô phỏng một đường tấn công, họ tuyên bố đường này có thể khiến cơ sở hạ tầng crypto trị giá lên tới 700 tỷ đô la gặp rủi ro.
Nhân vật chính của sự cố lỗ hổng lần này là public chain Aptos dựa trên ngôn ngữ Move, Move bắt nguồn từ dự án stablecoin Diem đã bị Meta gác lại.
Cuối tháng 2, các nhà nghiên cứu từ công ty bảo mật Hexens đã báo cáo một lỗ hổng nghiêm trọng trong Máy ảo Aptos Move cho nhóm phát triển Aptos, máy ảo này chịu trách nhiệm thực thi hợp đồng thông minh trên chuỗi. Bản chất của lỗ hổng là lỗi nhầm lẫn loại do vô hiệu hóa bộ nhớ đệm: kẻ tấn công có thể giả mạo bộ nhớ đệm, lừa hệ thống nhận diện một loại tài nguyên trên chuỗi thành một loại tài nguyên khác.
Nhóm Aptos đã hoàn tất triển khai bản vá toàn mạng sau khi nhận được báo cáo lỗ hổng, không có sự kiện tài sản người dùng nào bị đánh cắp trong suốt quá trình.
Một phát ngôn viên của Aptos phản hồi với CoinDesk: «Ngày 25 tháng 2, chúng tôi đã nhận được báo cáo về rủi ro tiềm ẩn này thông qua chương trình tiền thưởng lỗ hổng, lúc đó nội bộ đã đồng thời tiến hành rà soát lỗ hổng. Nhóm đã hoàn thành sửa lỗi, kiểm thử và triển khai lên mainnet trong vòng vài giờ sau khi xác nhận lỗ hổng, không có người dùng hay vốn nào bị thiệt hại trong suốt quá trình.» Tuy nhiên, phía chính thức cũng đưa ra ý kiến phản biện về mức độ khai thác thực tế của lỗ hổng, cho rằng sau khi phân tích nội bộ, lỗ hổng này hầu như khó thực hiện tấn công trong môi trường trực tuyến thực tế. Tuy nhiên, chi tiết lỗ hổng được nhóm bảo mật tiết lộ đã hé lộ rằng toàn bộ ngành crypto đã suýt gặp phải một thảm họa bảo mật lớn đủ để thay đổi cục diện ngành.
Lý do lỗ hổng này có rủi ro cực cao nằm ở cơ chế lưu trữ quyền hạn của ngôn ngữ Move: các quyền hạn giao thức cốt lõi như quyền đúc tiền, quyền quản lý cầu nối cross-chain, quản trị viên thị trường cho vay đều được lưu trữ trực tiếp dưới dạng tài nguyên trên chuỗi. Một khi các tài nguyên quyền hạn này bị xâm phạm, rủi ro sẽ không giới hạn ở một giao thức đơn lẻ, tất cả các ứng dụng phụ thuộc vào quyền hạn đó cũng sẽ bị xâm phạm theo.
Các nhà nghiên cứu Hexens đưa ra một phép loại suy dễ hiểu: tác hại của lỗ hổng này tương đương với việc một public chain hệ Ethereum xuất hiện lỗi nghiêm trọng, hợp đồng của kẻ tấn công có thể bỏ qua cơ chế bảo mật loại, trực tiếp ghi và giả mạo dữ liệu lưu trữ của các hợp đồng thông minh khác — trong khi bảo mật loại chính là rào cản bảo vệ cốt lõi ngay từ khi thiết kế ngôn ngữ Move.
Giám đốc Công nghệ của Polygon Mudit Gupta đã độc lập xác minh gói demo xác minh lỗ hổng, xác nhận quy trình tấn công là khả thi thực tế: «Toàn bộ logic tấn công hoàn toàn hợp lệ, demo tái hiện thành công, các điều kiện tiên quyết cần thiết cho cuộc tấn công trong môi trường mainnet đều có thể được đáp ứng.» Tổ chức bảo mật Grego AI cũng đã độc lập tái hiện lỗ hổng này, dữ liệu tính toán của họ cho thấy chỉ riêng tài sản khóa gốc trên mainnet Aptos đã có khoảng 250 triệu đô la trực tiếp phơi bày trước rủi ro, chưa kể đến rủi ro cross-chain rộng hơn.
Rủi ro 700 tỷ đô la
Lỗ hổng này được phát hiện bởi đồng sáng lập kiêm CTO của Hexens Vahe Karapetyan. Nếu không được sửa chữa kịp thời, lỗ hổng có thể mở ra rủi ro toàn chuỗi cho cầu nối cross-chain, stablecoin, các giao thức DeFi khác nhau, sàn giao dịch tập trung, gây ra thiệt hại tài sản cấp tỷ đô, tạo nên khủng hoảng toàn ngành.
Việc xây dựng toàn bộ môi trường tấn công chỉ cần một máy chủ 3.000 đô la, hacker độc hại thực hiện tấn công thậm chí không cần mô phỏng cụm đầy đủ, chi phí chỉ vài trăm đô la, và không cần kiểm soát các validator, nắm thông tin nội bộ hoặc có được quyền hạn cao cấp của giao thức.
Nhóm nghiên cứu này đã tiến hành khoảng 20 vòng mô phỏng tấn công trong môi trường mainnet mô phỏng, thành công 17 đến 18 lần. 2 đến 3 lần thất bại còn lại sẽ không gây ra ngừng mạng, kẻ tấn công có thể thử lại nhiều lần cho đến khi xâm nhập thành công. Cụm mô phỏng sao chép toàn bộ môi trường mainnet thực tế: xây dựng hơn 30 validator, khôi phục phân chia staking thực tế, sao chép lưu lượng giao dịch hàng ngày và các kịch bản tắc nghẽn khối. Nhóm cũng áp dụng công nghệ hiệu chuẩn trước không tấn công, tính toán trạng thái hoạt động của mempool và đóng gói khối trước khi chính thức phát động tấn công, giảm đáng kể sự không chắc chắn do tính ngẫu nhiên của tấn công mang lại, nâng cao đáng kể tỷ lệ thành công thực chiến.
Hexens dựa trên dữ liệu trên chuỗi công khai để tính toán, chỉ riêng rủi ro trực tiếp từ DeFi gốc Aptos, tài sản token hóa, stablecoin, giao thức staking thanh khoản đã đạt hàng tỷ đô la.
Và rủi ro của lỗ hổng tầng nền tảng public chain không bao giờ giới hạn ở một public chain đơn lẻ. Tổng hợp các rủi ro từ cầu nối cross-chain, giao thức truyền thông cross-chain, chuỗi phát hành stablecoin, sàn giao dịch tập trung, quy mô rủi ro hệ thống tổng thể ước tính lên tới 70 tỷ đô la. CEO của Grego AI Justus Hanna cho biết, kẻ tấn công có thể lợi dụng lỗ hổng này để giành quyền quản lý cốt lõi của các cơ sở hạ tầng cross-chain chính như LayerZero, Wormhole, giao thức truyền tải cross-chain CCTP, về lý thuyết có thể làm trống tất cả vốn khóa liên quan.
Bài kiểm tra mô phỏng lần này đủ để chứng minh rằng các lỗ hổng ẩn ở tầng nền tảng public chain có thể mang lại rủi ro ngành mang tính hủy diệt.
Nếu hacker lợi dụng lỗ hổng này để phát động tấn công thực tế, quy mô thiệt hại sẽ vượt xa sự kiện sàn giao dịch Bybit bị đánh cắp 1,5 tỷ đô la năm ngoái. Ngay trong tháng 6, Zcash đã giảm 38% do lỗ hổng nghiêm trọng tiềm ẩn bốn năm trong privacy pool, lỗ hổng này cho phép kẻ tấn công đúc vô hạn token giả mạo và khó bị phát hiện; trước đó, nhiều vụ trộm coin qua cầu nối cross-chain, hợp đồng thông minh cấp tỷ đô đã liên tục làm lung lay niềm tin của thị trường vào cơ sở hạ tầng.
Việc tính toán rủi ro 700 tỷ đô la dựa trên kịch bản cực đoan khi kẻ tấn công đúc hàng loạt USDC, sử dụng Circle CCTP để cross-chain sang nhiều public chain. Về lý thuyết nếu sự cố xảy ra, Circle rất có thể sẽ tạm dừng chuyển khoản USDC, nhưng Circle trước đó từng tuyên bố sẽ không đóng băng tài sản người dùng khi không có ủy quyền tư pháp, tồn tại sự không chắc chắn trong việc thực thi. Ngay cả khi các nền tảng liên quan chặn lại bằng kiểm soát rủi ro khẩn cấp, cú sốc lỗ hổng lần này cũng sẽ gây tổn thất nặng nề cho toàn bộ thị trường crypto.
Nhóm nghiên cứu đã xác nhận thông qua demo xác minh rằng lỗ hổng có thể giành quyền quản lý cấp cao của hệ thống cross-chain, bao gồm quyền kiểm soát đúc tiền, quyền ký, quyền kiểm soát sổ sách giao thức. Họ đã tái hiện hoàn toàn quy trình tiếp quản quyền kiểm soát chính, không thực tế đúc token, nhưng đã chứng minh rõ ràng rằng rủi ro này phải được đưa vào mô hình đe dọa bảo mật. Đường dẫn truyền dẫn chính của lỗ hổng là kênh cross-chain kết nối giữa Aptos và các sàn giao dịch tập trung, kẻ tấn công có thể lợi dụng điều này để giả mạo dữ liệu ghi sổ nạp tiền của người dùng trên sàn.
Phản hồi và tiết lộ
Cùng ngày Hexens nộp báo cáo, một nhóm phản ứng khẩn cấp có tên «SEAL911» đã được thành lập, chịu trách nhiệm điều phối các biện pháp phản ứng. Vài giờ sau khi nhóm phản ứng được thành lập, bên dự án đã nhận được thông báo đầy đủ về lỗ hổng. Chiều cùng ngày, bốn dự án cốt lõi hạ nguồn lớn đồng thời nhận được file demo lỗ hổng và phân tích rủi ro quyền hạn.
Ngày 27 tháng 2, kho code chính thức công khai lịch sử commit sửa lỗi, Aptos cho biết bản vá riêng cho validator đã được triển khai hoàn tất trước khi code công khai được triển khai. Đồng thời, Hexens cho biết đến nay chưa nhận được phản bác kỹ thuật có dữ liệu hỗ trợ từ phía Aptos, đối phương chỉ nêu ra rằng cuộc tấn công tồn tại ngưỡng xác suất.
Mặc dù không có vốn nào bị đánh cắp, nhưng kết quả mô phỏng cho thấy, trong các cuộc tấn công ở cấp độ blockchain, giới hạn lưu lượng, đóng băng của tổ chức phát hành, kiểm soát cross-chain, giám sát sàn giao dịch và bản vá validator không phải là các biện pháp bảo mật thứ yếu. Chúng trực tiếp quyết định liệu lỗ hổng là một sự cố nhỏ cục bộ hay sự sụp đổ hệ thống toàn ngành.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News











