Vulnérabilité d’Aptos : comment sa rapidité a élargi un risque $70B

  • Hexens a trouvé une faille critique dans Aptos, corrigée avant tout mouvement de fonds.
  • Le bug aurait pu permettre à un attaquant de forger des actifs et de les pousser à travers des ponts.
  • Aptos conteste la gravité, mais le CTO de Polygon a validé la preuve de concept.
  • L’affaire relance le débat sur les coupe-circuits on-chain pour les L1 rapides.

Un cabinet de sécurité a révélé que Aptos, l’une des blockchains de couche 1 les plus rapides, a transporté une faille critique pendant des mois avant d’être corrigée discrètement. Le 4 juillet, Hexens a rendu public un bug qu’elle avait signalé en privé à Aptos le 25 février : une faiblesse dans le moteur qui exécute les contrats intelligents qui font tourner la chaîne et, selon son propre chiffrage, elle mettait en jeu jusqu’à 70 milliards de dollars de risque théorique à travers des ponts, des stablecoins et des plateformes d’échange connectées. Aptos Labs l’a corrigée dans les heures suivant ce premier signalement, et aucun fonds d’utilisateur n’a jamais été touché. Alors pourquoi un correctif vieux de cinq mois fait-il maintenant la une ? Deux raisons. Le chiffre, évidemment. Mais aussi le détail en dessous : ce qu’Aptos met le plus en avant, c’est la vitesse brute, et la vitesse brute est précisément ce qui transforme 70 milliards de dollars, d’un titre alarmiste, en une estimation défendable. Un argument de débit record, un jour après la rupture Le 5 juillet, à peine 24 heures après le signalement, le compte officiel du projet a poursuivi avec sa mise à jour mensuelle programmée de tokenomics, indiquant 232 500 APT brûlés sur les 30 derniers jours, plus de 16 millions de transactions en une seule journée pour un nouveau plus haut trimestriel, et des frais moyens de 0,0005 dollar après une hausse des frais multipliée par 10, le tout sous l’accroche « the full stack for markets and machines at work ». Le post se lit très différemment une fois que vous avez la révélation de Hexens sous les yeux, car les transactions presque gratuites et le volume énorme qu’Aptos promeut sont exactement les mêmes propriétés qu’un chercheur en sécurité examine en premier lorsqu’il calcule combien un seul bug dans le cœur de la chaîne pourrait réellement coûter.

Chaque transaction sur Aptos brûle $APT. Nouvelle mise à jour du mois :

• 232,5K APT brûlés sur les 30 derniers jours
• 1,4M d’APT brûlés au total depuis le mainnet
• +16M transactions en une journée — nouveau plus haut trimestriel
• 0,0005 dollar de frais de tx moyens depuis la hausse x10

The full stack for markets and machines at work. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 juillet 2026

Le bug vivait sous le code que la plupart des audits vérifient Aptos est construit sur Move, un langage de programmation conçu spécifiquement pour rendre ce type d’attaque difficile. Move traite les tokens et autres actifs numériques comme des éléments protégés et vérifie, au moment où une transaction s’exécute, que rien n’est manipulé comme le mauvais type. Cette promesse de sécurité est une grande partie de la raison pour laquelle Aptos et Sui présentent tous deux Move comme plus sûr que des environnements plus anciens. La faille de Hexens s’est glissée sous cette promesse plutôt que de la briser de front. En termes simples, le système a brièvement fonctionné avec des informations obsolètes et a fini par confondre un type d’élément on-chain avec un autre. Les spécialistes de la sécurité appellent ça une « confusion de type », un vieux problème de logiciel où un programme lit quelque chose comme le mauvais type et passe directement à côté des contrôles prévus pour l’empêcher. Sur une blockchain, ce mélange est dangereux : un attaquant pourrait déguiser un élément malveillant en élément légitime et tromper le réseau sur qui possède un actif et qui est autorisé à le transférer. Le CTO de Polygon, Mudit Gupta, a revu la preuve de concept de manière indépendante et a déclaré à CoinDesk qu’elle s’exécutait comme revendiqué, avec la réserve que certaines conditions devaient d’abord être réunies. Émanant du responsable sécurité d’une chaîne rivale, cela pèse plus lourd que tout ce qu’Aptos ou Hexens pourrait dire à elle seule. Pourquoi des frais bas et un volume énorme aggravent le bug Ici, le débit cesse d’être une ligne marketing et commence à se comporter comme un multiplicateur de risque. Hexens a mené l’attaque contre un cluster de plus de 30 nœuds validateurs, mis en place pour refléter le réseau réel, sur une configuration de serveur coûtant environ 3 000 dollars et simulant à peu près un tiers du set de validateurs. Ça a fonctionné 17 ou 18 fois sur 20, sans accès interne ni autorisations spéciales. En ajoutant les chiffres réels, l’image devient plus nette. À une fraction de centime par transaction, inonder la chaîne de charges malveillantes revient presque à rien. Avec 16 millions de transactions par jour, et des blocs confirmés en quelques secondes, un attaquant capable de forger des actifs n’aurait besoin que d’une fenêtre courte pour les créer et les faire sortir avant que quiconque réagisse. La vitesse est neutre. Le même moteur qui expédie le volume légitime en quelques secondes expédierait aussi, au même rythme, un faux parcours « mint-and-transfer », et les humains qui font tourner le réseau ne peuvent pas réagir assez vite. C’est précisément la partie que le post sur les métriques de brûlage a, par accident, soulignée. Deux chiffres très différents, et pourquoi l’écart compte Deux chiffres sont sortis de tout ça, et les traiter comme un seul fait déformer l’histoire. Le plus petit tourne autour de 250 millions de dollars : la valeur détenue dans les applis DeFi d’Aptos que le cabinet indépendant Grego AI juge directement exposée. Le plus grand, c’est 70 milliards de dollars, et il n’apparaît que si vous suivez la faille en la prolongeant à travers des ponts inter-chaînes comme Wormhole et LayerZero, les systèmes de stablecoins, et les échanges qui échangent APT et ses versions encapsulées. Les ponts sont le point faible. Ils mutualisent des actifs provenant de plusieurs chaînes à la fois, donc un événement d’actif forgé qui démarre sur Aptos pourrait, dans le pire scénario modélisé, siphonner de l’argent qui venait à l’origine d’Ethereum. Les 70 milliards de dollars sont un total « worst-case » construit sur une pile d’hypothèses, pas de la trésorerie qui était là, prête à être saisie en un mouvement net.

| Chiffre | | --- | | Ce que cela représente | | Source | | --- | --- | | 250 M$ | | Valeur dans les applis DeFi d’Aptos exposée directement | Grego AI | | 70 Md$ | | Risque systémique maximal à travers les ponts, stablecoins, échanges | Hexens | | 3 000 | | Coût serveur pour simuler environ un tiers des validateurs | Hexens | | 1 M$ | | Palier maximal de récompense pour la faille Aptos | Programme de bug bounty d’Aptos |

Aptos Labs ne conteste pas le rapport lui-même. Il confirme la notification du 25 février via le programme de bug bounty et affirme que le problème faisait déjà l’objet d’un traitement en interne. Ce qu’il conteste, en revanche, c’est la sévérité : il soutient que des conditions réelles de réseau rendaient l’exploitation bien plus difficile que ce que la configuration de test laissait entendre, et il qualifie la capacité d’exploitation réelle de « extrêmement faible ». Cette affirmation se heurte directement à la validation indépendante de Gupta, et les deux positions n’ont pas été réconciliées publiquement. Il existe un second écart qui vaut la peine d’être signalé, et il concerne les incitations plutôt que le code. La récompense plafonne à 1 million de dollars. Une exploitation de ce type rapporterait de multiples fois ce montant sur le marché noir, et Hexens l’a dévoilé malgré tout : c’est précisément l’intérêt d’exécuter une bug bounty.

| Lecture de la menace systémique | | --- | | Lecture de la résilience | | --- | | Une configuration à 3 000 dollars pourrait menacer une L1 de premier niveau | Corrigé en quelques heures, sans perturbation du réseau | | Un bug au cœur suggère un risque de catégorie pour les chaînes Move | Aptos dit que les conditions réelles rendent l’exploitabilité très faible | | Une seule faille peut atteindre des actifs via ponts et stablecoins | La bug bounty a orienté l’issue vers un scénario white-hat plutôt que vers une vente |

Ce que fait le graphique APT pendant que le débat continue Les traders l’ont pour l’essentiel pris avec distance. Sur le graphique Aptos/USD sur 4 heures de Coinbase, récupéré via TradingView, APT s’est échangé près de 0,635 dollar le 7 juillet, en restant au-dessus de sa moyenne mobile sur 50 périodes à 0,6061 et de sa ligne sur 100 périodes à 0,6147, tout en rencontrant la moyenne sur 200 périodes à 0,6410 comme résistance au-dessus. Une moyenne mobile n’est rien de plus que la moyenne du prix de clôture sur ce nombre de bougies, et cette configuration indique un rebond réel qui n’a pas encore effacé la tendance baissière plus grande, celle qui a fait passer APT d’environ 1,00 dollar au milieu de mai à environ 0,55. Le RSI, un indicateur de pression acheteuse allant de 0 à 100, était à 58,77, au-dessus du seuil neutre de 50 mais loin de la barre des 70 qui signale un marché surchauffé. CoinMarketCap affichait APT en hausse de 9,91 % sur la semaine à 0,6339, donc la divulgation ressemble davantage à un poids sur le sentiment qu’à un déclencheur de ventes réelles. Le correctif qui dépassera ce cycle d’actualité Les constructeurs portent la charge à court terme. Toute personne qui fait tourner une application sur Aptos a une raison de re-vérifier comment son code gère le type de cas limite que Hexens a trouvé, et les gros investisseurs pourraient garder une prime de risque légèrement plus élevée sur des tokens basés sur Move comme APT et SUI pendant qu’ils examinent à nouveau les fondations du réseau. Deux choses, cependant, ont de fortes chances de rester après que la couverture s’éteigne. La première, c’est le plafond de la bug bounty. Un cap de 1 million de dollars semble de plus en plus dérisoire face à la valeur qu’il est censé protéger, et les projets en concurrence avec des acheteurs du marché noir n’auront peut-être pas d’autre choix que de le relever. La seconde, c’est un changement dans la question que les chercheurs posent réellement. Pendant des années, les lauriers portaient sur le nombre de transactions qu’une chaîne peut pousser. Cet incident déplace l’attention vers l’autre compétence : à quelle vitesse un réseau peut se couper de lui-même. Les chaînes rapides ont de plus en plus besoin de « kill switches » automatiques qui gèlent les transferts inter-chaînes dès qu’un problème apparaît, parce qu’une fois qu’un humain remarque quelque chose, les transactions sont déjà passées. Aptos s’apprête à faire cette expérience sur elle-même. Une proposition visant à masquer les détails des transactions jusqu’après leur validation, ce qui rendrait le front-running plus difficile, avance déjà via un vote communautaire, tandis que d’autres mises à niveau visent encore des temps de confirmation plus rapides. Chacune de ces décisions ajoute de la vitesse et augmente la valeur en jeu, exactement la combinaison que la divulgation de Hexens a montrée capable de transformer un bug unique en risque systémique. Que le prochain moment sécurité de Move soit lu comme une rassurance ou comme une répétition dépend d’une seule chose : si ces mises à niveau sont livrées avec le type de garde-fous intégrés que cette affaire a mis en avant.

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé