Le directeur technique de la société de sécurité Hexens, Vahe Karapetyan, a découvert le 5 juillet une vulnérabilité de cache obsolète dans la machine virtuelle Move de la blockchain Aptos, provoquant une confusion de type. Cette faille peut tromper le logiciel pour contourner les garanties de sécurité de typage du langage Move. Hexens a mis en place un environnement de simulation avec un serveur d’une valeur d’environ 3 000 dollars, et lors de 20 tests, le taux de réussite des attaques avoisinait les 90 %.
Selon le rapport technique de Hexens, l’équipe de Karapetyan a construit un environnement de simulation proche de l’échelle du réseau principal pour vérifier la faisabilité de la vulnérabilité : plus de 30 nœuds validateurs, une répartition des mises en jeu similaire à celle du réseau principal, un flux de transactions réel et une forte concurrence d’exécution, le tout pour un coût d’environ 3 000 dollars. En cas d’attaque réelle, le coût serait encore plus bas, sans nécessiter de privilèges de validateur, de connaissances internes ou d’accès spécial.
Hexens a testé environ 20 fois dans cet environnement, avec 17 à 18 succès, soit un taux de réussite proche de 90 %. Même en cas de 2 à 3 échecs occasionnels, le réseau ne s’arrête pas et l’attaquant peut attendre patiemment la prochaine fenêtre d’opportunité.
Selon les déclarations officielles d’Aptos et un reportage de CoinDesk, Hexens a signalé la vulnérabilité le 25 février 2026 via le programme de bug bounty d’Aptos. Aptos a indiqué que l’équipe travaillait déjà en interne sur ce problème au moment du signalement. L’équipe d’intervention d’urgence bénévole du secteur crypto, SEAL911, a ouvert une salle de commandement le jour même. Dans l’après-midi, Aptos a informé les parties concernées et 4 projets principaux en aval, accompagnés d’une preuve de concept (PoC) exécutable localement.
Aptos a déclaré à CoinDesk : « Le correctif a été développé, testé et déployé sur le réseau principal en quelques heures après la découverte, et aucun utilisateur ni aucun fonds n’a été affecté pendant tout le processus. » La pull request publique du correctif a été mise en ligne le 27 février, mais les validateurs privés avaient déjà déployé le correctif avant ce commit public.
Selon CoinDesk, il existe un écart notable entre l’évaluation officielle d’Aptos et celle de Hexens : Aptos affirme que « l’analyse indique que cette vulnérabilité est extrêmement difficile à exploiter dans des conditions réelles », tandis que Hexens répond n’avoir reçu à ce jour aucune réfutation technique fondée sur des preuves.
Le directeur technique de Polygon, Mudit Gupta, a examiné le PoC indépendamment et a déclaré : « Il fonctionne comme annoncé, la vulnérabilité a du sens… Quelques conditions doivent être remplies, mais il semble qu’ils les aient effectivement réunies sur le réseau principal. »
Justus Hanna, PDG de l’organisme indépendant Grego AI, a déclaré après avoir vérifié le PoC : « Si un acteur malveillant mettait la main sur cette faille, il pourrait s’emparer de tout le TVL (valeur totale verrouillée) qu’il souhaite. »
Selon les évaluations de Hexens et Grego AI, l’ampleur du risque lié à cette vulnérabilité se décline en deux niveaux :
Exposition directe du TVL natif d’Aptos (évaluation Grego AI) : Sur la base d’un taux de réussite d’attaque proche de 90 %, environ 250 millions de dollars de TVL natif d’Aptos sont directement menacés, sans inclure les expositions inter-chaînes.
Risque systémique (évaluation Hexens) : Jusqu’à 70 milliards de dollars, incluant les ponts inter-chaînes, les systèmes de messagerie inter-chaînes, les processus de gestion d’émission de stablecoins et les actifs accessibles via les bourses centralisées. Ce chiffre suppose que l’attaquant émet massivement des USDC et les transfère vers d’autres chaînes via le protocole de transfert inter-chaînes de Circle (CCTP).
Limites de Circle : Circle indique qu’elle ne gèlera pas les actifs sans autorisation légale, ce qui signifie que si les parties concernées interviennent à temps, la probabilité que le risque de 70 milliards de dollars se matérialise entièrement est limitée.
Risque de propagation de la chaîne de confiance : Les autorisations clés des protocoles du langage Move (émission de stablecoins, contrôle des ponts inter-chaînes, gestion des marchés de prêt) sont stockées sous forme de « ressources on-chain ». Une fois compromises, les dégâts se propagent le long de la chaîne de confiance à tous les systèmes qui en dépendent.
Lors de ses tests, Hexens a réussi à prendre le contrôle d’un rôle similaire à « master minter », en suivant des voies de gestion légitimes, sans aller jusqu’à frapper effectivement des pièces, mais cela a suffi à prouver que ce type de rôle doit être inclus dans le modèle de menace complet.
Selon le rapport technique de Hexens, il s’agit d’un « bug de cache obsolète (stale-cache bug) » entraînant une « confusion de type (type confusion) ». Le logiciel est trompé en confondant une ressource on-chain avec une autre, contournant ainsi les garanties de sécurité de typage du langage Move, ce qui permet au code contrôlé par l’attaquant d’écrire directement dans l’espace de stockage d’autres contrats.
Selon les déclarations officielles d’Aptos, la vulnérabilité a été corrigée, testée et déployée sur le réseau principal en quelques heures après son signalement le 25 février 2026, les validateurs privés ayant été déployés encore plus tôt. La PR publique a été mise en ligne le 27 février. Aptos indique qu’aucun utilisateur ni aucun fonds n’a été affecté pendant tout le processus.
Selon l’évaluation de Hexens, les 70 milliards de dollars couvrent les ponts inter-chaînes, les systèmes de messagerie inter-chaînes, l’émission de stablecoins et les actifs accessibles via les bourses centralisées. Cette estimation suppose que l’attaquant émet massivement des USDC et les transfère vers d’autres chaînes via le CCTP de Circle. Circle indique qu’elle ne gèle pas les actifs sans autorisation légale ; si les parties concernées interviennent à temps, la probabilité que le risque se matérialise entièrement est limitée.
Actualités associées
Hinkal DeFi subit une perte de 820 000 dollars due à une faille, 410 ETH impliqués dans du blanchiment d'argent.
Un trader réputé surveille : Le titre Strategy aurait vendu 491 bitcoins, l'authenticité reste à vérifier.
Drift Protocol renommé Velocity DEX, plan de redémarrage après un vol de 280 millions de dollars
Les pertes liées aux hacks cryptos sont tombées à 75,9 millions de dollars en juin, l'exploit Humanity en tête.