Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
CFD
Produits dérivés CFD sur actions américaines
US Stocks
Accédez à de véritables actions et ETF américains
HK Stocks
Tradez des actions des actions de qualité cotées à Hong Kong
Actions coréennes
SK Hynix
Tradez de véritables actions coréennes et investissez dans les actifs les plus populaires
Futures sur actions
Effet de levier élevé, trading 24h/24 et 7j/7
Actions tokenisées
Adossé à de véritables actions
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
GUSD
Mint GUSD pour des rendements de Treasury RWA
Activités boursières
Tradez des actions populaires et débloquez des airdrops généreux
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
Ouf ! Une société de sécurité informatique découvre une vulnérabilité d'Aptos : 700 milliards de dollars de cryptomonnaies sont exposés à un risque systémique.
Les hackers white-hat de la société de sécurité Hexens ont identifié une vulnérabilité de confusion de type dans la machine virtuelle Move de la blockchain Aptos, avec un taux de réussite d'attaque proche de 90 %. Selon Hexens, si elle était exploitée malveillamment, le risque systémique lié aux ponts inter-chaînes, aux émissions de stablecoins et aux échanges pourrait atteindre 70 milliards de dollars.
(Rappel : Le directeur juridique de Grayscale, Craig Salm, déclare : il est peu probable que la faille de Zcash soit exploitée avant sa correction)
(Contexte supplémentaire : Un hacker white-hat révèle une vulnérabilité 0-day cachée dans Cosmos ! Le redémarrage des nœuds pourrait provoquer un blocage général, mais l'officiel a traité le signalement comme un spam)
Table des matières
Toggle
Un serveur coûtant moins de 3 000 $ à mettre en place, accompagné d'une équipe de hackers white-hat, suffirait-il à exposer au risque des actifs cryptographiques d'une valeur de 70 milliards de dollars ? C'est la conclusion d'une simulation d'attaque menée par la société de sécurité Hexens sur la blockchain Aptos. Les chercheurs ont reproduit l'attaque dans des conditions proches de celles du réseau principal, avec un taux de réussite proche de 90 %.
Vahe Karapetyan, directeur technique d'Hexens, est le découvreur de cette vulnérabilité. Le problème, caché dans la machine virtuelle Move d'Aptos (l'environnement central responsable de l'exécution des contrats intelligents), est qualifié par Hexens de « stale-cache bug (vulnérabilité de cache obsolète) », entraînant une « confusion de type ».
En termes simples, le logiciel peut être induit en erreur, confondant une ressource en chaîne avec une autre. Par analogie avec l'architecture Ethereum, cela équivaut à permettre au code contrôlé par l'attaquant d'écrire directement dans l'espace de stockage d'autres contrats, contournant complètement les garanties de sécurité de type que le langage Move est censé maintenir.
Serveur à 3 000 $, 18 succès sur 20 simulations
Pour vérifier la faisabilité de la vulnérabilité, l'équipe de Karapetyan a construit un environnement de simulation proche de l'échelle du réseau principal : plus de 30 nœuds validateurs, une distribution des enjeux proche de celle du réseau principal, ainsi que des flux de transactions réels et une concurrence d'exécution intense. Le coût total de mise en place de cet environnement est d'environ 3 000 $ ; pour une véritable attaque, le coût serait encore plus faible, sans nécessiter de privilèges de validateur, de connaissance interne ou d'accès spécial.
L'équipe a effectué environ 20 tests dans l'environnement de simulation, réussissant 17 à 18 fois, soit un taux de réussite proche de 90 %. Même en cas d'échec 2 à 3 fois, cela ne paralyserait pas le réseau, et l'attaquant pourrait patiemment attendre la prochaine fenêtre pour agir à nouveau.
SEAL911 mobilisé toute la nuit, correction en 48 heures
Hexens a officiellement signalé la vulnérabilité le 25 février 2026 via le programme bug bounty d'Aptos.
Aptos a indiqué qu'au moment de la réception du signalement, l'équipe interne était déjà en train de traiter le problème. Le même jour, l'équipe d'intervention d'urgence bénévole du secteur des cryptomonnaies, « SEAL911 », a ouvert une salle de commandement. Cette équipe est devenue ces dernières années une première ligne d'intervention clé pour les vulnérabilités majeures dans l'écosystème cryptographique.
En quelques heures, Aptos a informé les fournisseurs concernés, et dans l'après-midi, a informé 4 projets en aval majeurs, en joignant une preuve de concept (PoC) exécutable localement. Le 27 février, une pull request publique de correctif était déjà en ligne ; Aptos a souligné qu'avant de rendre le commit public, l'équipe avait déjà déployé le correctif sur les validateurs privés.
Les responsables d'Aptos ont déclaré à CoinDesk : « Lorsque nous avons reçu le signalement via le bug bounty le 25 février, l'équipe interne était déjà en train de traiter le problème. Le correctif a été développé, testé et déployé sur le réseau principal en quelques heures après la découverte, sans qu'aucun utilisateur ou fonds ne soit affecté. »
« Presque inexploitable » ? Une vérification tierce contredit la version officielle
Cependant, le ton officiel d'Aptos diffère nettement de l'évaluation d'Hexens. Aptos a déclaré à CoinDesk : « Selon notre analyse, cette vulnérabilité a une très faible exploitabilité dans des conditions réelles. » Hexens a répondu n'avoir reçu à ce jour aucune réfutation technique fondée sur des preuves, le seul doute soulevé par l'officiel étant lié à la composante probabiliste de la vulnérabilité, précisément ce que la technique de « calibrage non armé » est censée résoudre.
Mais les résultats de la vérification tierce semblent pencher en faveur d'Hexens. Mudit Gupta, directeur technique de Polygon, a examiné indépendamment cette preuve de concept et a déclaré : « Elle s'exécute comme annoncé, la vulnérabilité est cohérente… Certaines conditions doivent être remplies, et il semble qu'ils les aient bien atteintes sur le réseau principal. »
Une autre organisation ayant vérifié indépendamment le PoC d'Hexens, Grego AI, a souligné que cette vulnérabilité suffirait à voler les autorisations de plusieurs protocoles, notamment LayerZero, Wormhole et le protocole inter-chaînes USDC CCTP. Justus Hanna, PDG de Grego AI, a déclaré sans détour : « Si un acteur malveillant obtenait cette vulnérabilité, il pourrait prendre toute la valeur totale verrouillée (TVL) qu'il souhaite. »
De 250 millions à 70 milliards de dollars : l'escalade de l'estimation des risques
Selon Hexens, l'exposition directe sur la chaîne Aptos, impliquant les protocoles de première couche liés à la DeFi, aux actifs tokenisés, aux infrastructures de stablecoins et au staking liquide, est de l'ordre de « plusieurs milliards de dollars » ; Grego AI, en se basant sur un taux de réussite d'attaque proche de 90 %, estime qu'environ 250 millions de dollars de TVL native d'Aptos sont directement menacés, sans compter l'exposition inter-chaînes.
En élargissant la perspective au risque systémique plus large, Hexens avance le chiffre de 70 milliards de dollars, couvrant les ponts inter-chaînes, les systèmes de messagerie inter-chaînes, les processus de gestion des émissions de stablecoins, ainsi que la valeur des actifs accessibles via les échanges centralisés. Ce chiffre impressionnant repose sur l'hypothèse que l'attaquant émet massivement des USDC, puis les transfère vers d'autres chaînes via le protocole de transfert inter-chaînes de Circle (CCTP).
Cependant, Circle a récemment déclaré qu'il ne gèlerait pas les actifs sans autorisation légale. En d'autres termes, si les parties concernées interviennent rapidement, la probabilité de réaliser la totalité des 70 milliards de dollars est faible, mais ce chiffre suffit à illustrer l'ampleur du problème.
Il est à noter que dans le langage Move, les autorisations clés des protocoles telles que la frappe de stablecoins, le contrôle des ponts inter-chaînes, la gestion des marchés de prêt, sont souvent stockées sous forme de « ressources en chaîne ». Une fois que de tels rôles sont compromis, les dégâts ne se limitent pas à un seul protocole, mais se propagent le long de la chaîne de confiance à tous les systèmes qui en dépendent.
Lors de tests réels, l'équipe d'Hexens a même pris le contrôle d'un rôle similaire à « master minter (maître frappeur) » et a suivi des voies de gestion légitimes, bien qu'elle se soit arrêtée avant la frappe effective. Cela prouve toutefois que ces rôles doivent être intégrés dans un modèle de menace complet. Les chercheurs estiment que la principale voie vers une exposition plus large passe par les échanges centralisés, en particulier les chemins de pont Aptos qui relient les activités en chaîne à la comptabilité des dépôts sur ces échanges.