
Một máy chủ cho thuê với giá khoảng 3.000 USD thường không thể đe dọa đến 70 tỷ USD tài sản số. Tuy nhiên, vào cuối tháng 2/2026, các nhà nghiên cứu tại công ty bảo mật Hexens đã dùng đúng loại máy chủ này. Họ khởi tạo một máy đủ mạnh, sử dụng nó để mô phỏng khoảng 1/3 mạng lưới xác thực của Aptos và phá vỡ giả định cốt lõi về sự tin cậy của chuỗi chỉ trong 17 hoặc 18 lần thử trên tổng số 20. Không cần khóa xác thực, không truy cập nội bộ, không quyền hạn đặc biệt – chỉ cần phần cứng phổ thông và một lỗi ẩn sâu trong máy ảo Aptos Move.
Lỗ hổng này đã được báo cáo khẩn cấp, vá chỉ trong vài ngày và không gây thiệt hại tài chính nào. Điều khiến vụ việc từ một bản vá yên lặng tháng 2 trở thành tiêu đề ngày 4/7 là con số mà Hexens đưa ra: rủi ro hệ thống bậc một ước tính lên đến 70 tỷ USD, vượt xa Aptos và ảnh hưởng tới các cầu nối chuỗi, nhắn tin cross-chain, quyền phát hành stablecoin, cùng số dư trên sàn tập trung.
Dưới đây là lỗ hổng hoạt động ra sao, vì sao con số rủi ro lại lớn đến vậy, cách nó được phát hiện trước khi ai đó bị ảnh hưởng, và ý nghĩa đối với người nắm giữ APT hoặc giao dịch trên bất kỳ chuỗi nào dùng Move.
Điều gì đã xảy ra trên mạng lưới Aptos
Lỗ hổng được tìm ra bởi Vahe Karapetyan, CTO kiêm đồng sáng lập Hexens, và báo cáo qua kênh bảo mật của Aptos vào 25/2/2026. Một bản vá công khai được phát hành sau đó hai ngày (27/2), và đội ngũ đã cập nhật bản vá lên mainnet chỉ trong vài giờ sau khi xác nhận vấn đề. Toàn bộ chi tiết kỹ thuật của lỗ hổng được giữ kín hơn 4 tháng và chỉ công bố vào khoảng 4/7/2026, sau khi mạng lưới đã di chuyển và rủi ro được loại bỏ.
Khoảng thời gian giữa lúc vá và công bố là thông lệ với lỗ hổng nghiêm trọng như vậy. Không ai công bố "bản thiết kế" cho một cuộc tấn công 70 tỷ USD khi cửa vẫn còn mở. Đến khi thông tin được chia sẻ, đường khai thác đã không còn tồn tại trên chuỗi thực tế.
Aptos Labs cho rằng mức độ nguy hiểm thực tế của lỗ hổng này không lớn như mô tả. Một phát ngôn viên trao đổi với CoinDesk rằng phân tích nội bộ cho thấy lỗ hổng có khả năng bị khai thác "rất thấp ngoài thực tế", dù vẫn công nhận bản vá là cần thiết. Hexens thì nhìn nhận khác, và số liệu mô phỏng của họ mới là lý do khiến câu chuyện này được chú ý thay vì chỉ coi là lý thuyết.
Cách thức lỗ hổng hoạt động (dễ hiểu)
Mỗi blockchain hợp đồng thông minh đều phải trả lời hàng triệu lần một câu hỏi: Kiểu dữ liệu này là gì, nó có thể làm gì? Trên Aptos, câu hỏi này được giải quyết bởi máy ảo Move – bộ máy chạy từng hợp đồng và thực thi mọi quy tắc. Move được đánh giá cao vì khiến một số kiểu tấn công trở nên gần như không thể, chính vì thế phát hiện này càng gây chú ý.
Lỗi nằm ở cách máy ảo lưu trữ dữ liệu kiểu. Điều kiện "bộ nhớ cache lỗi thời" khiến máy, trong một số thời điểm nhất định, vẫn dùng kết quả cũ sau khi đáp án đúng đã thay đổi. Trạng thái lỗi thời này mở ra lỗi nhầm lẫn kiểu dữ liệu (type-confusion), nơi phần mềm coi một loại tài sản on-chain như thể nó là một loại hoàn toàn khác.
Hãy hình dung như nhận vé gửi áo khoác giá rẻ, nhưng về sau hệ thống lại đọc vé đó như là phiếu lấy két sắt. Vé không đổi, nhưng ký ức của hệ thống về ý nghĩa nó thì thay đổi. Trên blockchain, "quyền hạn" thường được lưu trực tiếp dưới dạng tài sản on-chain, ví dụ quyền phát hành token, kiểm soát cầu nối, hay khóa quản trị thị trường lending. Nếu máy ảo bị đánh lừa để đọc một tài sản vô giá trị thành quyền hạn, kẻ tấn công sẽ kiểm soát những gì hệ thống không hề dự tính.
Lý do máy chủ 3.000 USD trở nên quan trọng là vì một số cửa sổ thời gian chỉ mở ra khi bạn kiểm soát đủ lớn số lượng validator xử lý giao dịch. Việc mô phỏng khoảng 1/3 mạng lưới giúp nhóm nghiên cứu sắp xếp điều kiện thành công, và họ đạt tỷ lệ hơn 90%. Đây không phải xổ số mà là một cuộc tấn công có thể lặp lại, chỉ cần người thực hiện đủ động lực và thuê máy chủ phù hợp.
Vì sao con số rủi ro lên đến 70 tỷ USD
Số tiền thực tế trên Aptos khi đó nhỏ hơn rất nhiều, chỉ khoảng 250 triệu USD giá trị khóa trong các giao thức. Con số 70 tỷ USD đến từ mọi thứ mà một đối tượng quyền lực giả mạo có thể với tới sau khi nó được tạo ra.
Lỗi nhầm lẫn kiểu dữ liệu cấp quyền phát hành không quan tâm đến biên giới chuỗi. Hệ sinh thái crypto hiện đại liên kết với nhau bằng các cầu nối, nhắn tin cross-chain, và hạ tầng stablecoin chung, nên một gian lận thuyết phục ở một chuỗi có thể được chấp nhận ở nhiều chuỗi khác. Hexens đã mô phỏng thiệt hại cấp một trên các hệ thống tin vào trạng thái Aptos, tổng cộng gần chạm mốc 70 tỷ USD.
| Lớp rủi ro | Lỗ hổng có thể ảnh hưởng | Lý do quan trọng |
| Giá trị Aptos gốc | Khoảng 250 triệu USD on-chain | Quỹ trực tiếp đặt trên Aptos |
| Cầu nối cross-chain | Tài sản bị khóa trong hợp đồng cầu nối | Tài sản giả có thể được rút ra vượt quyền |
| Quyền phát hành stablecoin | Phát hành USDC qua giao thức cross-chain của Circle | Quyền giả cho phép tạo token mới mà không có tài sản bảo chứng |
| Số dư trên sàn | Tiền nạp ghi nhận từ chuyển khoản Aptos | Chuyển khoản giả được công nhận là thật |
| Nhắn tin cross-chain | Trạng thái được gửi giữa các mạng | Một thông tin sai lệch nếu được tin sẽ lan ra toàn hệ sinh thái |
Hạng mục đáng lo nhất là quyền phát hành stablecoin. USDC có thể được tạo và chuyển qua lại nhờ Giao thức chuyển giao Cross-Chain của Circle, vốn tin vào thông tin các sự kiện trên từng chuỗi được kết nối. Nếu kẻ tấn công có thể làm giả bằng chứng on-chain cấp quyền phát hành, họ có thể tạo ra stablecoin mới mà không có tài sản bảo chứng và phân phối khắp hệ sinh thái trước khi ai đó phát hiện. Đây chính là cơ chế biến một vấn đề 250 triệu USD thành rủi ro hệ thống, tương tự các vụ khai thác cầu nối lớn năm 2026, nơi thiệt hại vượt xa giá trị on-chain nơi phát sinh lỗ hổng.
Lỗ hổng được phát hiện và xử lý kịp thời như thế nào
Phần này mới thực sự giúp người nắm giữ APT yên tâm. Lỗi được phát hiện bởi công ty bảo mật chuyên nghiệp trong khuôn khổ chương trình "săn lỗi", báo cáo thông qua kênh responsible-disclosure và được xử lý trước khi bất kỳ tác nhân xấu nào khai thác. Hệ thống đã hoạt động đúng như mong đợi.
| Ngày | Sự kiện |
| 25/2/2026 | Hexens báo cáo lỗ hổng qua kênh bảo mật của Aptos |
| 27/2/2026 | Pull request bản vá công khai được phát hành |
| Cuối tháng 2/2026 | Bản vá được kiểm tra và triển khai trên mainnet, validator cập nhật |
| 4/7/2026 | Chi tiết được công bố sau khi rủi ro đã loại bỏ hoàn toàn |
Hai yếu tố giúp phát hiện được lỗ hổng: Một là Aptos có chương trình bug bounty đủ hấp dẫn để thu hút các công ty bảo mật uy tín như Hexens, tức các kỹ sư giỏi có động lực tấn công hợp pháp thay vì bán lỗi trên chợ đen. Hai là thiết kế của Move khiến lỗi lộ ra rõ ràng khi có ai biết chỗ cần kiểm tra. Hệ thống type nghiêm ngặt của Move – vừa bị lợi dụng, vừa giúp đội ngũ xử lý nhanh chóng chỉ trong vài ngày.
Bài học rút ra là: Một nhà nghiên cứu có tài chính tốt chỉ với máy chủ phổ thông vẫn đạt tỷ lệ thành công trên 90% khi mô phỏng. Nếu "người tốt" làm được, "người xấu" cũng có thể. Việc bảo vệ không nằm ở chỗ tấn công khó, mà là Hexens đã phát hiện trước và báo cáo đúng quy trình.
Ý nghĩa đối với người nắm giữ APT hoặc sử dụng chuỗi Move
APT giao dịch quanh mức 0,63 USD đầu tháng 7/2026, gần như không phản ứng khi thông tin được công bố do nguy cơ đã là chuyện quá khứ. Không có sự kiện mất tiền, không có giao thức vỡ nợ, không có cầu nối bị đình chỉ. Xét về bản chất, đây là một lỗi đã được vá, không phải khủng hoảng đang diễn ra.
Điều nên lưu ý là cách bạn nhìn nhận các blockchain hiệu suất cao đời mới. Aptos và các mạng cùng sử dụng Move thực sự nhanh, thiết kế hợp lý, và loại bỏ được nhiều bug kiểu reentrancy, overflow vốn phổ biến trên hệ thống DeFi đời cũ. Tuy nhiên, "an toàn hơn trên một số phương diện" không có nghĩa là "bất khả xâm phạm". Điểm mới của Move cũng đồng nghĩa máy ảo của nó chưa chịu sức ép thử thách lâu dài như môi trường thực thi của Ethereum vốn bị tấn công liên tục cả thập kỷ.
Đối với nhà giao dịch, nên chú ý đến quản trị rủi ro vị thế và nhận diện rủi ro chéo thay vì hoảng loạn. APT nên nằm ở phần danh mục rủi ro cao hơn; bản chất cross-chain của mối đe dọa nghĩa là rủi ro bạn mang theo không bao giờ chỉ giới hạn ở một token. Nếu bạn giữ stablecoin hoặc dùng các thị trường cho vay cross-chain như Aave DeFi, rủi ro với lỗi Move-VM là gián tiếp nhưng có thực, bởi các hệ thống đó tin vào trạng thái có thể bị tấn công qua lỗi nhầm lẫn kiểu dữ liệu. Bài học là không phải tránh hoàn toàn chuỗi này, mà là hiểu rằng an toàn của một tài sản giờ phụ thuộc code chạy trên các mạng mà bạn có thể chưa bao giờ sử dụng trực tiếp.
Câu hỏi thường gặp
Aptos hiện giờ có an toàn để sử dụng không?
Lỗ hổng cụ thể này đã được vá vào cuối tháng 2/2026 và không có tổn thất tài sản, nên đường khai thác này đã bị loại bỏ khỏi mainnet. Không blockchain nào được đảm bảo an toàn tuyệt đối, nhưng dựa trên thông tin hiện có, Aptos đang ở vị thế mạnh hơn trước khi lỗi được phát hiện và xử lý sớm.
Lỗi type-confusion là gì?
Đây là lỗi khi phần mềm xử lý một dữ liệu như thể nó là đối tượng khác, ví dụ đọc phiếu gửi áo khoác như phiếu lĩnh két sắt. Trên blockchain, lỗi này có thể cho phép kẻ tấn công sử dụng tài sản vô giá trị như thể nó có quyền kiểm soát phát hành token hoặc cầu nối, vì thế rất nguy hiểm.
Có ai thực sự mất tiền do lỗi Move VM của Aptos không?
Không, không có thiệt hại nào xảy ra. Hexens đã báo cáo lỗi ngày 25/2, Aptos vá lỗi chỉ trong vài ngày, và công bố công khai được trì hoãn đến 4/7 để không ai có thể khai thác trước khi bản vá được áp dụng.
Điều này có ảnh hưởng đến các blockchain Move khác như Sui không?
Lỗi này chỉ tồn tại trên triển khai Move VM của Aptos, không phải lỗi chung của mọi chuỗi dùng Move. Tuy nhiên, nó nhắc nhở rằng các mạng dùng chung ngôn ngữ Move cũng chia sẻ mặt bằng rủi ro tương tự và cần chú ý đến bảo mật VM riêng từng mạng.
Kết luận
Điều quan trọng không phải là con số 70 tỷ USD, mà là một CTO chỉ với máy chủ 3.000 USD và không có đặc quyền vẫn đạt tỷ lệ thành công trên 90% với một chuỗi được quảng bá là "bảo mật hàng đầu". Khoảng cách giữa marketing và thực tế chỉ được thu hẹp nhờ nghiên cứu đối kháng trả phí và công khai nhanh – cả hai đều đã vận hành đúng ở đây. Hãy quan sát Aptos xử lý các chương trình bounty và audit VM tiếp theo, bởi một mạng coi tháng 2 là bài học cảnh báo sẽ là nơi xứng đáng để theo dõi lâu dài. Nếu APT duy trì trên mức thấp gần nhất và hệ sinh thái siết chặt bảo mật, sự kiện này sẽ nâng cao uy tín thay vì trở thành vết sẹo.
Bài viết này chỉ nhằm mục đích cung cấp thông tin, không phải là lời khuyên tài chính hay đầu tư. Giao dịch tiền điện tử tiềm ẩn rủi ro lớn. Luôn tự nghiên cứu kỹ trước khi quyết định giao dịch.






