Aptos corrige une faille critique au risque théorique de 70 milliards de dollars

Résumé du marché par IA
Aptos a corrigé une vulnérabilité critique "stale-cache" de la Move VM que des chercheurs ont indiqué pouvoir permettre la prise de contrôle de structs on-chain et de ressources d'autorité, impliquant une exposition systémique théorique importante à travers la DeFi et les ponts. Aucun fonds n'a été perdu et le correctif a été déployé sur le mainnet en quelques heures, ce qui est stabilisant, mais cette divulgation met en évidence un risque latent d'exécution des smart contracts et pourrait durcir les contrôles de risque pour les protocoles liés à Aptos, en particulier les ponts cross-chain.
Niveau d'impact
● Moyen
Actifs concernés
APT/USDT-2.52%
Infos de l'IA · APT/USDTInfos de l'IA
● neutre
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Un réseau blockchain qui traite des milliards de dollars de transactions chaque jour est passé à quelques centaines de dollars d'un scénario potentiellement catastrophique. Aptos Labs a corrigé une faille critique de sa machine virtuelle Move après que des chercheurs en sécurité ont montré qu'une attaque simulée pouvait réussir dans près de 90 % des cas avec une simple configuration serveur. La vulnérabilité, qualifiée de bug "stalecache", a été signalée par la société de sécurité blockchain Hexens le 25 février 2026. Aptos a déployé un correctif sur le mainnet en quelques heures. Une pull request publique datée du 27 février a ensuite détaillé le patch et son lien avec le programme de bug bounty de l'entreprise. Ce que permettait la faille Le problème se situait dans la machine virtuelle Move, l'environnement d'exécution qui traite chaque smart contract du réseau. Selon Hexens, la faille pouvait permettre à un attaquant de prendre le contrôle de structures on-chain (structs) et de ressources d'autorité, avec à la clé la manipulation des structures de données qui déterminent la propriété des actifs sur la blockchain. Les chercheurs ont présenté des attaques de type preuve de concept à partir d'une configuration serveur d'environ 3 000 $, chaque tentative coûtant quelques centaines de dollars. En simulation, le taux de réussite atteignait près de 90 %. Hexens évalue le risque systémique à 70 milliards de dollars, en intégrant les stablecoins, les ponts cross-chain et les protocoles DeFi construits sur Aptos ou connectés à ce réseau. Les bridges sont jugés particulièrement sensibles, car ils mutualisent des actifs provenant de plusieurs chaînes : un exploit réussi peut vider des fonds dont l'origine se trouve ailleurs. Le CTO de Polygon, Mudit Gupta, a examiné indépendamment la preuve de concept et a confirmé les conclusions des chercheurs. Réponse d'Aptos et désaccord sur l'exploitabilité Aucun fonds utilisateur n'a été perdu. Aptos Labs indique être passé de l'identification du problème au déploiement du correctif sur le mainnet en quelques heures. Aptos conteste toutefois les affirmations sur l'exploitabilité en conditions réelles, estimant que les contraintes du mainnet rendraient une attaque aboutie plus difficile que ne le suggère l'environnement de simulation. Cette position contraste avec la validation indépendante de Gupta sur la preuve de concept. La pull request du 27 février formalise aussi le lien avec le bug bounty d'Aptos, qui prévoit des récompenses pouvant aller jusqu'à 1 million de dollars pour les divulgations de vulnérabilités critiques. Points de vigilance pour investisseurs et développeurs Le chiffre de 70 milliards de dollars correspond à une exposition théorique maximale, dans l'hypothèse où un attaquant parviendrait à chaîner simultanément toutes les voies d'exploitation possibles. Face à un réseau de grande valeur, une barrière d'entrée de 3 000 $ de serveur et quelques centaines de dollars par tentative reste faible. Les protocoles qui s'appuient sur Aptos pour le règlement, notamment les ponts cross-chain, sont incités à auditer leurs dépendances à la suite de cette divulgation. Le plafond de 1 million de dollars du bug bounty est compétitif, mais l'écart avec une exposition théorique chiffrée en dizaines de milliards souligne un point : un chercheur capable de monétiser cette faille sur un marché gris pour bien davantage a choisi la divulgation responsable.