logo
$7M Ultimate Champion
Đăng ký và nhận 15.000 USDT phần thưởng
Ưu đãi có hạn đang chờ bạn!

Blockchain Move như Aptos và Sui có an toàn sau lỗ hổng 70 tỷ USD?

Điểm chính

Hexens tiết lộ lỗ hổng 70 tỷ USD trên Aptos Move VM ngày 4/7, đã được vá và không ghi nhận tổn thất. Bài viết phân tích ý nghĩa bảo mật đối với các blockchain Move và việc nắm giữ APT, SUI.

Ngày 4/7/2026, hãng bảo mật Hexens đã công bố một lỗ hổng type-confusion trong máy ảo Aptos Move, từng có thể khiến khoảng 70 tỷ USD tài sản trên hệ thống rơi vào nguy cơ lý thuyết bị tấn công. Các nhà nghiên cứu đã tái hiện lỗ hổng trên môi trường mô phỏng Aptos với chiếc server trị giá 3.000 USD, đạt tỷ lệ thành công khoảng 90% và báo cáo cho đội ngũ Aptos vào cuối tháng 2. Lỗ hổng này đã được vá trước khi mainnet vận hành, không có tổn thất tài sản nào xảy ra.

Con số này đủ lớn để đặt ra câu hỏi cho bất kỳ ai đang nắm giữ tài sản trên các blockchain sử dụng Move. Cả Aptos và Sui đều dùng ngôn ngữ xuất phát từ dự án Diem của Meta, và Movement cùng Sei cũng thuộc nhóm này. Nếu chỉ một lỗi có thể đe dọa 70 tỷ USD trên Aptos, liệu toàn bộ các blockchain Move có tiềm ẩn rủi ro tương tự không?

Dưới đây là chi tiết về lỗ hổng, phạm vi ảnh hưởng thực sự, sự khác biệt về rủi ro của Aptos và Sui và ý nghĩa thực tế khi lỗ hổng đã được vá trước khi bị khai thác đối với người nắm giữ APT và SUI.

Lỗi 70 tỷ USD thực sự là gì?

Hexens mô tả đây là lỗi stale-cache tạo ra lỗ hổng kiểu type-confusion, cho phép máy ảo nhầm lẫn giữa các loại tài nguyên on-chain. Trong Move, tài sản số được thể hiện như tài nguyên có quyền sở hữu và cấp phép rõ ràng, việc nhầm kiểu kéo theo nguy cơ kẻ tấn công giả mạo được quyền truy cập.

Con số 70 tỷ USD là ước tính rủi ro hệ thống, không phải một hợp đồng duy nhất nắm số tiền này. Nó bao gồm tổng giá trị tài sản mà kẻ tấn công có thể tiếp cận nhờ giả lập quyền, cả qua các cầu nối, hệ thống nhắn tin cross-chain, luồng quản trị stablecoin và tài sản do các nền tảng tập trung lưu ký. Nghiên cứu chỉ ra các giao thức hạ tầng như LayerZero, Wormhole và hệ chuyển tiền cross-chain của USDC đều nằm trong phạm vi này.

Hai yếu tố giúp sự cố không trở thành thảm họa: lỗi được phát hiện thông qua kênh riêng tư và đã được sửa trước khi công khai; khai thác mới chỉ thực hiện trong phòng thí nghiệm, chưa ảnh hưởng mainnet. Điều đáng lưu ý là chi phí phát hiện lỗ hổng không lớn – một nhóm nghiên cứu chuyên sâu với server tầm trung đã tìm ra một lỗi có sức phá hủy lớn.

Move là gì và Blockchain nào sử dụng?

Move là ngôn ngữ lập trình định hướng tài nguyên, được phát triển bởi đội ngũ kỹ sư Diem (Meta). Ý tưởng cốt lõi là tài sản số chỉ có thể chuyển giao giữa các chủ sở hữu, không thể sao chép hoặc xóa "âm thầm" – thiết kế này loại bỏ nhiều lỗi từng gây thất thoát trên các nền tảng hợp đồng thông minh cũ, lý do Move được lựa chọn ngày càng nhiều.

Move giống như bản thiết kế chung để nhiều đội ngũ xây dựng blockchain riêng. Aptos dùng mô hình dữ liệu tài khoản với engine thực thi song song Block-STM. Sui chỉnh sửa mô hình này thành dạng vật thể (object-centric) và phát triển biến thể Sui Move chạy trên máy ảo riêng. Movement (MOVE) xây dựng mạng tương thích với Ethereum dựa trên Move, còn Sei cũng thuộc hệ sinh thái với thiết kế song song riêng biệt.

Điểm quan trọng mà tiêu đề 70 tỷ USD dễ gây hiểu lầm là tách biệt giữa ngôn ngữ Move và từng cách triển khai của mỗi đội ngũ. Ngôn ngữ chỉ định nghĩa quy tắc về kiểu dữ liệu, quyền sở hữu và truy cập, còn máy ảo là phần mềm thực thi các quy tắc này ở thời gian thực, gồm bộ kiểm tra bytecode và lớp cache – nơi phát sinh lỗi. Một lỗi trong mã của một đội không đồng nghĩa bản thân thiết kế Move có vấn đề.

Lỗi ảnh hưởng Sui hay chỉ riêng Aptos?

Đây là điểm phân định rõ giữa vấn đề của Aptos và Move. Lỗi stale-cache chỉ tồn tại trong Aptos Move VM, cụ thể ở luồng cache do kỹ sư Aptos xây dựng để tăng tốc truy cập tài nguyên. Sui không sử dụng nền tảng mã này.

Sui chạy Sui Move trên máy ảo do Mysten Labs phát triển riêng, với mô hình sở hữu vật thể khác biệt so với dạng tài khoản của Aptos. Dù dùng chung triết lý ngôn ngữ, hai chain đã phát triển quá khác biệt nên một lỗi cache runtime ở Aptos không ảnh hưởng trực tiếp tới Sui. Sui không bị tác động bởi lỗ hổng này, Movement và Sei cũng không chạy mã Aptos bị ảnh hưởng.

Điều đáng chú ý: đây là lỗi khi triển khai, không phải do hệ thống kiểu của Move yếu. Quy tắc tài nguyên của Move vẫn được đảm bảo. Lỗi xuất phát từ cách một VM lưu cache và lấy lại dữ liệu – dạng lỗi có thể xuất hiện ở bất kỳ nền tảng hiệu năng cao nào, không phụ thuộc ngôn ngữ. Do đó, rủi ro của từng chain phụ thuộc vào kỹ năng kỹ thuật và quy trình kiểm toán, công khai của từng đội ngũ.

Aptos và Sui: Hai blockchain Move, hai hồ sơ rủi ro

Dù đều xuất thân từ dự án Diem, Aptos và Sui đã phát triển theo hướng khác nhau với thế mạnh và mức độ tiếp xúc rủi ro khác biệt. Aptos vượt trội về stablecoin và hợp tác doanh nghiệp, trong khi Sui xây dựng hệ sinh thái on-chain sâu rộng hơn. Bảng dưới đây tóm tắt vị thế hai chain tính đến giữa năm 2026:

Tiêu chíAptos (APT)Sui (SUI)
Ra mắt & đội ngũMainnet 2022, Aptos Labs (cựu Meta Diem)Mainnet 2023, Mysten Labs (cựu Meta Diem)
Mô hình dữ liệuDựa trên tài khoảnTrung tâm vật thể
Biến thể MoveCore MoveSui Move (máy ảo riêng)
Đồng thuậnAptos BFT với Block-STMMysticeti, xác nhận dưới 1 giây
Vốn hóa stablecoinDẫn đầu mạng Move, khoảng 1.6 tỷ USDKhoảng 700 triệu USD
DeFi TVLĐỉnh gần 1 tỷ USDCao hơn, đỉnh gần 2.6 tỷ USD
Ảnh hưởng bởi lỗi tháng 7Đã vá, không mất tài sảnKhông bị ảnh hưởng

Không chain nào hoàn toàn an toàn hơn. Aptos đã trải qua sự kiện bảo mật thực tế và xử lý nhanh bằng bản vá riêng tư, không tổn thất tài sản – đây có thể coi là điểm cộng về quy trình. Sui tránh được lỗ hổng chủ yếu vì mã máy ảo khác biệt. Tuy nhiên, Sui có mã ít được kiểm chứng thực tế hơn và TVL DeFi lớn, nếu có lỗi nghiêm trọng thì giá trị bị tập trung cũng nhiều hơn.

Ý nghĩa của lỗ hổng nếu bạn nắm giữ APT hoặc SUI

Kết luận thực tế bình tĩnh hơn tiêu đề. Lỗ hổng nghiêm trọng được các chuyên gia bảo mật phát hiện và báo cáo, vá kín trước khi có bất kỳ tổn thất nào – minh chứng quy trình bảo mật đang vận hành tốt. Ngược lại, các hệ thống nên lo lắng là nơi lỗi chỉ bị phát hiện sau khi đã xảy ra mất mát.

Điểm xác thực là các blockchain hiệu năng cao này vẫn còn nhiều bề mặt tấn công chưa được khám phá hết. Chỉ với server 3.000 USD đã phát hiện lỗ hổng trị giá hàng chục tỷ, nghĩa là nguy cơ lỗi lớn trong tương lai vẫn hiện hữu, không chỉ với Aptos mà cả Sui. Giải pháp hợp lý không phải né tránh Move, mà là điều chỉnh tỷ trọng đầu tư phù hợp với thực tế: rủi ro hạ tầng cao hơn các chain lâu đời như Bitcoin, và nên ưu tiên các dự án có chương trình bounty/lịch sử kiểm toán công khai.

Với nhà giao dịch ngắn hạn, thông tin này không tạo biến động lớn vì không có thất thoát tài sản, không dẫn tới thanh lý hoặc phá sản giao thức. Đây là dữ liệu về danh tiếng, không phải sự kiện tổn thất tài sản, và giá APT giữ vững sau tin tức ngày 4/7, không sụp đổ như trường hợp bị khai thác thật sự.

Câu hỏi thường gặp

Sui có bị ảnh hưởng bởi lỗi của Aptos không?

Không. Lỗi type-confusion chỉ xuất hiện trong máy ảo Aptos Move, Sui sử dụng VM riêng do Mysten Labs phát triển với biến thể Sui Move, nên lỗ hổng này không tác động tới mạng Sui.

Con số 70 tỷ USD có nghĩa từng đó tài sản có nguy cơ bị đánh cắp?

Không hoàn toàn. Đó là ước tính rủi ro hệ thống, bao gồm tất cả giá trị tài sản mà kẻ tấn công có thể tiếp cận nếu giả lập được quyền truy cập. Thực tế không có thiệt hại, vì Aptos đã vá lỗi này trước khi công khai.

Bản thân ngôn ngữ Move có không an toàn?

Lỗi xuất phát từ việc triển khai cache trong một VM cụ thể, không phải do hệ thống kiểu của Move yếu. Mô hình tài nguyên của Move vẫn đảm bảo. Ngôn ngữ này vẫn có ưu thế trong hạn chế lỗi nhân bản tài sản, nhưng không ngôn ngữ lập trình nào có thể bảo vệ khỏi lỗi phần mềm khi triển khai.

Tôi có nên bán APT hoặc SUI vì lỗ hổng này không?

Không có lý do từ sự cố này để làm vậy. Không có tổn thất tài sản, lỗ hổng đã được vá. Giải pháp hợp lý là kiểm soát tỷ trọng đầu tư phù hợp với thực tế các blockchain mới này có rủi ro hạ tầng cao hơn các chain lớn, và ưu tiên các dự án có chương trình bug bounty và kiểm toán công khai.

Tổng kết

Con số 70 tỷ USD là hoàn toàn có thật, nhưng chỉ mô tả một "viên đạn" đã né được. Hexens đã phát hiện lỗ hổng nghiêm trọng trên máy ảo Aptos, Aptos đã xử lý kín và không có quỹ mainnet nào bị ảnh hưởng – đây nên được xem là thành công về bảo mật. Sui, Movement và Sei không bị ảnh hưởng vì mỗi chain vận hành VM độc lập. Nên theo dõi các báo cáo kiểm toán mới từ các chain Move khác, vì thực tế là chỉ với server 3.000 USD vẫn có thể phát hiện rủi ro lớn trên bất kỳ blockchain hiệu năng cao nào. Quản lý tỷ trọng đầu tư phù hợp và ưu tiên các dự án có chương trình bug bounty là điều nên làm.

Bài viết chỉ nhằm mục đích cung cấp thông tin, không phải là lời khuyên tài chính hoặc đầu tư. Giao dịch Tiền điện tử tiềm ẩn nhiều rủi ro. Vui lòng tự nghiên cứu trước khi ra quyết định.

Đăng ký và nhận 15000 USDT
Tuyên bố miễn trừ trách nhiệm
Nội dung được cung cấp trên trang này chỉ nhằm mục đích thông tin và không cấu thành lời khuyên đầu tư, không có sự đảm bảo hay đại diện dưới bất kỳ hình thức nào. Nó không nên được hiểu là lời khuyên tài chính, pháp lý hoặc chuyên môn khác, và cũng không có ý định khuyến nghị việc mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tìm kiếm lời khuyên từ các cố vấn chuyên nghiệp thích hợp. Các sản phẩm được đề cập trong bài viết này có thể không có sẵn ở khu vực của bạn. Giá trị của tài sản kỹ thuật số có thể biến động. Giá trị đầu tư của bạn có thể giảm hoặc tăng và bạn có thể không thu hồi được số tiền đã đầu tư. Để biết thêm thông tin, vui lòng tham khảo Điều khoản Sử dụngTiết lộ Rủi ro của chúng tôi.