Hexens découvre une vulnérabilité de confusion de type sur Aptos, le taux de réussite des attaques approche 90 %.

APT0,42%

Le directeur technique de la société de sécurité Hexens, Vahe Karapetyan, a découvert le 5 juillet une vulnérabilité de cache obsolète dans la machine virtuelle Move de la blockchain Aptos, provoquant une confusion de type. Cette faille peut tromper le logiciel pour contourner les garanties de sécurité de typage du langage Move. Hexens a mis en place un environnement de simulation avec un serveur d’une valeur d’environ 3 000 dollars, et lors de 20 tests, le taux de réussite des attaques avoisinait les 90 %.

Serveur à 3 000 dollars, 20 simulations, 17 à 18 succès : taux de réussite proche de 90 %

Selon le rapport technique de Hexens, l’équipe de Karapetyan a construit un environnement de simulation proche de l’échelle du réseau principal pour vérifier la faisabilité de la vulnérabilité : plus de 30 nœuds validateurs, une répartition des mises en jeu similaire à celle du réseau principal, un flux de transactions réel et une forte concurrence d’exécution, le tout pour un coût d’environ 3 000 dollars. En cas d’attaque réelle, le coût serait encore plus bas, sans nécessiter de privilèges de validateur, de connaissances internes ou d’accès spécial.

Hexens a testé environ 20 fois dans cet environnement, avec 17 à 18 succès, soit un taux de réussite proche de 90 %. Même en cas de 2 à 3 échecs occasionnels, le réseau ne s’arrête pas et l’attaquant peut attendre patiemment la prochaine fenêtre d’opportunité.

Intervention de SEAL911 : correction en quelques heures et notification aux projets en aval

Selon les déclarations officielles d’Aptos et un reportage de CoinDesk, Hexens a signalé la vulnérabilité le 25 février 2026 via le programme de bug bounty d’Aptos. Aptos a indiqué que l’équipe travaillait déjà en interne sur ce problème au moment du signalement. L’équipe d’intervention d’urgence bénévole du secteur crypto, SEAL911, a ouvert une salle de commandement le jour même. Dans l’après-midi, Aptos a informé les parties concernées et 4 projets principaux en aval, accompagnés d’une preuve de concept (PoC) exécutable localement.

Aptos a déclaré à CoinDesk : « Le correctif a été développé, testé et déployé sur le réseau principal en quelques heures après la découverte, et aucun utilisateur ni aucun fonds n’a été affecté pendant tout le processus. » La pull request publique du correctif a été mise en ligne le 27 février, mais les validateurs privés avaient déjà déployé le correctif avant ce commit public.

Le directeur technique de Polygon, Mudit Gupta, et Grego AI ont vérifié indépendamment l’efficacité du PoC

Selon CoinDesk, il existe un écart notable entre l’évaluation officielle d’Aptos et celle de Hexens : Aptos affirme que « l’analyse indique que cette vulnérabilité est extrêmement difficile à exploiter dans des conditions réelles », tandis que Hexens répond n’avoir reçu à ce jour aucune réfutation technique fondée sur des preuves.

Le directeur technique de Polygon, Mudit Gupta, a examiné le PoC indépendamment et a déclaré : « Il fonctionne comme annoncé, la vulnérabilité a du sens… Quelques conditions doivent être remplies, mais il semble qu’ils les aient effectivement réunies sur le réseau principal. »

Justus Hanna, PDG de l’organisme indépendant Grego AI, a déclaré après avoir vérifié le PoC : « Si un acteur malveillant mettait la main sur cette faille, il pourrait s’emparer de tout le TVL (valeur totale verrouillée) qu’il souhaite. »

Estimation des risques : exposition directe du TVL natif d’Aptos à environ 250 millions de dollars

Selon les évaluations de Hexens et Grego AI, l’ampleur du risque lié à cette vulnérabilité se décline en deux niveaux :

Exposition directe du TVL natif d’Aptos (évaluation Grego AI) : Sur la base d’un taux de réussite d’attaque proche de 90 %, environ 250 millions de dollars de TVL natif d’Aptos sont directement menacés, sans inclure les expositions inter-chaînes.

Risque systémique (évaluation Hexens) : Jusqu’à 70 milliards de dollars, incluant les ponts inter-chaînes, les systèmes de messagerie inter-chaînes, les processus de gestion d’émission de stablecoins et les actifs accessibles via les bourses centralisées. Ce chiffre suppose que l’attaquant émet massivement des USDC et les transfère vers d’autres chaînes via le protocole de transfert inter-chaînes de Circle (CCTP).

Limites de Circle : Circle indique qu’elle ne gèlera pas les actifs sans autorisation légale, ce qui signifie que si les parties concernées interviennent à temps, la probabilité que le risque de 70 milliards de dollars se matérialise entièrement est limitée.

Risque de propagation de la chaîne de confiance : Les autorisations clés des protocoles du langage Move (émission de stablecoins, contrôle des ponts inter-chaînes, gestion des marchés de prêt) sont stockées sous forme de « ressources on-chain ». Une fois compromises, les dégâts se propagent le long de la chaîne de confiance à tous les systèmes qui en dépendent.

Lors de ses tests, Hexens a réussi à prendre le contrôle d’un rôle similaire à « master minter », en suivant des voies de gestion légitimes, sans aller jusqu’à frapper effectivement des pièces, mais cela a suffi à prouver que ce type de rôle doit être inclus dans le modèle de menace complet.

Questions fréquentes

Quelle est la vulnérabilité de la machine virtuelle Move d’Aptos et comment fonctionne-t-elle ?

Selon le rapport technique de Hexens, il s’agit d’un « bug de cache obsolète (stale-cache bug) » entraînant une « confusion de type (type confusion) ». Le logiciel est trompé en confondant une ressource on-chain avec une autre, contournant ainsi les garanties de sécurité de typage du langage Move, ce qui permet au code contrôlé par l’attaquant d’écrire directement dans l’espace de stockage d’autres contrats.

Cette vulnérabilité a-t-elle été corrigée et quel est le calendrier du correctif ?

Selon les déclarations officielles d’Aptos, la vulnérabilité a été corrigée, testée et déployée sur le réseau principal en quelques heures après son signalement le 25 février 2026, les validateurs privés ayant été déployés encore plus tôt. La PR publique a été mise en ligne le 27 février. Aptos indique qu’aucun utilisateur ni aucun fonds n’a été affecté pendant tout le processus.

Comment l’estimation du risque systémique de 70 milliards de dollars par Hexens a-t-elle été calculée ?

Selon l’évaluation de Hexens, les 70 milliards de dollars couvrent les ponts inter-chaînes, les systèmes de messagerie inter-chaînes, l’émission de stablecoins et les actifs accessibles via les bourses centralisées. Cette estimation suppose que l’attaquant émet massivement des USDC et les transfère vers d’autres chaînes via le CCTP de Circle. Circle indique qu’elle ne gèle pas les actifs sans autorisation légale ; si les parties concernées interviennent à temps, la probabilité que le risque se matérialise entièrement est limitée.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire