Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
CFD
Produits dérivés CFD sur actions
US Stocks
Accédez à de véritables actions et ETF américains
HK Stocks
Tradez des actions des actions de qualité cotées à Hong Kong
Actions coréennes
SK Hynix
Tradez de véritables actions coréennes et investissez dans les actifs les plus populaires
Futures sur actions
Effet de levier élevé, trading 24h/24 et 7j/7
Actions tokenisées
Adossé à de véritables actions
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
GUSD
3.8 %
Mint GUSD pour des rendements de Treasury RWA
Activités boursières
Tradez des actions populaires et débloquez des airdrops généreux
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
IPO Access
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
Aptos Vulnerability : Comment sa vitesse a élargi un $70B Risk
Une entreprise de sécurité a révélé qu'Aptos, l'une des blockchains de couche 1 les plus rapides, a porté une faille critique pendant des mois avant qu'elle ne soit discrètement corrigée. Le 4 juillet, Hexens a rendu publique une faille qu'elle avait signalée en privé à Aptos le 25 février, une faiblesse dans le moteur qui exécute les contrats intelligents de la chaîne qui, selon sa propre estimation, mettait jusqu'à 70 milliards de dollars de risque théorique en jeu à travers les ponts, les stablecoins et les bourses connectées. Aptos Labs l'avait corrigée en quelques heures après ce premier signalement, et aucun fonds d'utilisateur n'a jamais été touché. Alors pourquoi un correctif vieux de cinq mois fait-il l'actualité maintenant ? Deux raisons. Le chiffre, évidemment. Mais aussi le détail qui se cache derrière : la chose qu'Aptos commercialise le plus est la vitesse brute, et la vitesse brute est exactement ce qui transforme 70 milliards de dollars d'un titre alarmiste en une estimation défendable. Un exploit de débit record, un jour après la révélation Le 5 juillet, à peine 24 heures après le rapport, le compte officiel du projet a procédé à sa mise à jour mensuelle prévue de la tokenomics, rapportant 232 500 APT brûlés au cours des 30 derniers jours, plus de 16 millions de transactions en une seule journée pour un nouveau record trimestriel, et des frais moyens de 0,0005 $ après une augmentation décuplée des frais, le tout sous le slogan « la pile complète pour les marchés et les machines au travail ». Le message se lit très différemment une fois que vous avez la divulgation d'Hexens sous les yeux, car les transactions presque gratuites et l'énorme débit qu'Aptos promeut sont exactement les mêmes propriétés qu'un chercheur en sécurité pèse en premier lorsqu'il calcule combien un seul bug dans le cœur de la chaîne pourrait réellement coûter.
Chaque transaction sur Aptos brûle $APT. Mise à jour du nouveau mois :
• 232,5 mille APT brûlés au cours des 30 derniers jours
• 1,4 million d'APT brûlés au total depuis le mainnet
• +16 millions de transactions en un jour — un nouveau record trimestriel
• Frais moyens de 0,0005 $ depuis l'augmentation décuplée des frais
La pile complète pour les marchés et les machines au travail. pic.twitter.com/gPEuWzD1Qf
— Aptos (@Aptos) 5 juillet 2026
Le bug vivait sous le code que la plupart des audits vérifient Aptos est construit sur Move, un langage de programmation conçu spécifiquement pour rendre ce type d'attaque difficile. Move traite les jetons et autres actifs numériques comme des éléments protégés et vérifie, au moment où une transaction s'exécute, que rien n'est traité comme un mauvais type. Cette promesse de sécurité est une grande raison pour laquelle Aptos et Sui présentent Move comme plus sûr que les environnements plus anciens. La faille d'Hexens s'est glissée sous cette promesse au lieu de la briser de front. En termes simples, le système a brièvement fonctionné avec des informations obsolètes et a fini par confondre un type d'élément on-chain avec un autre. Les spécialistes de la sécurité appellent cela une « confusion de type », un vieux problème logiciel où un programme lit quelque chose comme un mauvais type et contourne les vérifications censées l'arrêter. Sur une blockchain, cette confusion est dangereuse : un attaquant pourrait déguiser un élément malveillant en un élément légitime et tromper le réseau en lui faisant mal lire qui possède un actif et qui est autorisé à le déplacer. Le CTO de Polygon, Mudit Gupta, a examiné la preuve de concept de manière indépendante et a déclaré à CoinDesk qu'elle fonctionnait comme annoncé, avec la réserve que quelques conditions devaient d'abord être réunies. Venant du responsable de la sécurité d'une chaîne rivale, cela pèse plus lourd que tout ce qu'Aptos ou Hexens pourraient dire eux-mêmes. Pourquoi des frais bon marché et un volume énorme aggravent le bug Le débit cesse d'être une ligne marketing ici et commence à se comporter comme un multiplicateur de risque. Hexens a exécuté l'attaque contre un cluster de plus de 30 nœuds validateurs, configuré pour refléter le réseau réel, sur un serveur coûtant environ 3 000 $ et représentant environ un tiers de l'ensemble des validateurs. Cela a fonctionné 17 ou 18 fois sur 20, sans accès privilégié ni autorisations spéciales requises. Ajoutez les chiffres réels et l'image se précise. À une fraction de centime par transaction, inonder la chaîne de charges malveillantes est presque gratuit. Avec 16 millions de transactions par jour, les blocs se confirmant en quelques secondes, un attaquant capable de forger des actifs n'aurait besoin que d'une courte fenêtre pour les créer et les déplacer avant que quiconque ne réagisse. La vitesse est neutre. Le même moteur qui traite le volume légitime en quelques secondes traiterait une opération fictive de mint-and-transfer à la même vitesse, et les humains qui gèrent le réseau ne peuvent pas réagir aussi vite. C'est la partie que le message sur les métriques de brûlage a accidentellement soulignée. Deux chiffres très différents, et pourquoi l'écart compte Deux chiffres sont ressortis de cela, et les traiter comme un seul est ainsi que l'histoire est déformée. Le plus petit est d'environ 250 millions de dollars, la valeur détenue dans les applications DeFi d'Aptos que la firme indépendante Grego AI a jugée à risque direct. Le plus grand est de 70 milliards de dollars, et il n'apparaît que lorsque vous suivez la faille vers l'extérieur à travers les ponts cross-chain comme Wormhole et LayerZero, les systèmes de stablecoin et les bourses qui échangent APT et ses versions enveloppées. Les ponts sont le point faible. Ils regroupent des actifs de plusieurs chaînes à la fois, donc un événement d'actif forgé qui commence sur Aptos pourrait, dans le pire des cas modélisé, drainer de l'argent provenant à l'origine d'Ethereum. Les 70 milliards de dollars sont un total dans le pire des cas construit sur un empilement d'hypothèses, pas de l'argent qui était jamais là pour être saisi en un seul mouvement net.
| Chiffre | Ce qu'il représente | Source | | --- | --- | --- | | 250 millions de dollars | Valeur dans les applications DeFi d'Aptos à risque direct | Grego AI | | 70 milliards de dollars | Risque systémique dans le pire des cas à travers les ponts, stablecoins, bourses | Hexens | | 3 000 $ | Coût du serveur pour simuler environ un tiers des validateurs | Hexens | | 1 million de dollars | Niveau de prime de bug bounty maximum d'Aptos | Programme de bug bounty d'Aptos |
Aptos Labs ne conteste pas le rapport lui-même. Il confirme la notification du 25 février via le programme de bug bounty et dit que le problème était déjà en cours de traitement en interne. Ce qu'il conteste, c'est la gravité, arguant que les conditions réelles du réseau rendaient l'exploitation beaucoup plus difficile à réaliser que ne le suggérait la configuration de test, et qualifiant l'exploitabilité réelle d'« extrêmement faible ». Cette affirmation entre directement en conflit avec la validation indépendante de Gupta, et les deux positions n'ont pas été conciliées publiquement. Il y a un deuxième écart qui mérite d'être signalé, et il concerne les incitations plutôt que le code. La prime est plafonnée à 1 million de dollars. Une exploitation de ce type rapporterait plusieurs fois ce montant sur le marché noir, et Hexens a quand même divulgué, ce qui est tout l'intérêt d'un programme de bug bounty.
| La lecture de menace systémique | La lecture de résilience | | --- | --- | | Une configuration à 3 000 $ pourrait menacer une couche 1 de premier plan | Corrigé en quelques heures, aucune perturbation du réseau | | Un bug central suggère un risque de catégorie pour les chaînes Move | Aptos dit que les conditions réelles rendaient l'exploitabilité très faible | | Une seule faille pourrait atteindre les actifs de pont et de stablecoin | La prime a orienté vers un résultat white-hat plutôt qu'une vente |
Ce que fait le graphique APT pendant que le débat se déroule Les traders ont pour la plupart ignoré cela. Sur le graphique APT/USD en 4 heures de Coinbase, obtenu via TradingView, APT s'échangeait près de 0,635 $ le 7 juillet, se maintenant au-dessus de sa moyenne mobile sur 50 périodes à 0,6061 $ et de sa ligne sur 100 périodes à 0,6147 $, tout en rencontrant la moyenne sur 200 périodes à 0,6410 $ comme résistance. Une moyenne mobile est simplement le prix de clôture moyen sur ce nombre de bougies, et cette configuration indique un rebond réel qui n'a pas encore dépassé la tendance baissière plus large, celle qui a fait passer APT d'environ 1,00 $ à la mi-mai à environ 0,55 $.
Le RSI, un indicateur de pression d'achat allant de 0 à 100, se situait à 58,77, au-dessus du niveau neutre de 50 mais loin de la ligne des 70 qui signale un marché surchauffé. CoinMarketCap indiquait APT en hausse de 9,91 % sur la semaine à 0,6339 $, donc la divulgation ressemble à un poids sur le sentiment plutôt qu'à un déclencheur de ventes réelles.
Le correctif qui survivra à ce cycle d'actualités
Les développeurs portent le fardeau à court terme. Quiconque exploite une application sur Aptos a une raison de revérifier comment son code gère le type de cas limite qu'Hexens a trouvé, et les gros investisseurs pourraient conserver une prime de risque légèrement plus élevée sur les jetons basés sur Move comme APT et SUI pendant qu'ils examinent à nouveau les fondations du réseau.
Deux choses, cependant, sont susceptibles de persister après que la couverture médiatique s'estompe. La première est le plafond de la prime. Un plafond de 1 million de dollars semble de plus en plus petit par rapport à la valeur qu'il est censé protéger, et les projets en compétition avec les acheteurs du marché noir n'auront peut-être guère d'autre choix que de l'augmenter. La seconde est un changement dans la question que les chercheurs se posent réellement. Pendant des années, les droits de vantardise portaient sur le nombre de transactions qu'une chaîne pouvait traiter. Cet incident déplace l'attention vers la compétence opposée : la rapidité avec laquelle un réseau peut s'arrêter. Les chaînes rapides ont de plus en plus besoin de « kill switches » automatiques qui gèlent les transferts cross-chain dès que quelque chose semble anormal, car une fois qu'un humain s'en aperçoit, les transactions ont déjà été effectuées.
Aptos est sur le point de mener cette expérience sur lui-même. Une proposition visant à masquer les détails des transactions jusqu'à leur confirmation, ce qui rendrait le front-running plus difficile, est déjà en cours de vote communautaire, tandis que d'autres mises à niveau recherchent des temps de confirmation encore plus rapides. Chacune d'elles ajoute de la vitesse et ajoute de la valeur en jeu, la même combinaison que la divulgation d'Hexens a montré pouvoir transformer un simple bug en un bug systémique. Que le prochain moment de sécurité de Move soit lu comme une réassurance ou une répétition dépend d'une seule chose : si ces mises à niveau sont livrées avec le genre de garde-fous intégrés que cet épisode a plaidés.