Aptos : une faille pourrait exposer jusqu’à 70 Md$ de valeur dans l’écosystème, selon des hackers
Résumé du marché par IA
Hexens a divulgué une faille de confusion de types "stalecache" dans la Move VM d'Aptos, qui aurait pu permettre des prises de contrôle de privilèges à fort impact (par ex., contrôle du mint/du bridge) avec une infrastructure à faible coût, bien qu'Aptos conteste l'exploitabilité pratique. Le bug a été corrigé en deux jours et aucun fonds n'a été perdu, mais le cadrage public en risque systémique de 70 Md$ peut peser sur la confiance à court terme dans la DeFi/les bridges basés sur Aptos et sur les perceptions de la sécurité de l'écosystème Move.
Niveau d'impact
● Moyen
Actifs concernés
APT/USDT-0.79%
Infos de l'IA · APT/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Deux chercheurs en sécurité ont montré qu’une infrastructure serveur d’environ 3 000 $ pouvait suffire, en théorie, à compromettre l’une des blockchains Layer 1 les mieux financées du secteur. La faille, repérée dans la machine virtuelle Move d’Aptos, ferait peser un risque systémique évalué à 70 milliards de dollars, touchant des stablecoins, des protocoles DeFi, des ponts inter-chaînes et des flux passant par des plateformes d’échange centralisées.
Hexens, société spécialisée en cybersécurité blockchain, indique avoir identifié le 25 février 2026 un "stalecache bug" dans la Move VM d’Aptos. Le défaut permettrait une vulnérabilité de "type confusion", où le système interprète mal des types de données. Selon Hexens, ce scénario pourrait ouvrir la voie à une prise de contrôle de ressources on-chain critiques, notamment des droits de mint et des mécanismes de contrôle de bridges.
Lors d’une simulation, Hexens affirme avoir obtenu un taux de réussite proche de 90 % avec une configuration serveur estimée à 3 000 $, en réussissant 17 opérations sur 20. Le proof of concept a également été validé de manière indépendante par Mudit Gupta, CTO de Polygon, renforçant la crédibilité du constat.
L’estimation de 70 Md$ ne correspond pas à la TVL directe d’Aptos. Grego AI, autre acteur de l’évaluation des risques, situe cette dernière autour de 250 millions de dollars. Hexens explique que son chiffre reflète plutôt l’effet domino potentiel sur des actifs et services dépendants d’Aptos : stablecoins adossés à son infrastructure, applications DeFi construites sur le réseau, bridges reliant Aptos à d’autres chaînes, ainsi que certains circuits opérationnels d’exchanges centralisés.
Aptos Labs conteste la sévérité de l’évaluation, estimant que l’exploitabilité réelle sur le mainnet en conditions pratiques était faible.
Aptos Labs indique avoir corrigé la faille sur le mainnet deux jours après sa découverte, le 27 février. Aucun fonds n’a été perdu. La divulgation s’est faite de manière coordonnée via les canaux d’urgence SEAL911, et quatre projets en aval ont été informés le jour même de l’identification. La révélation publique est intervenue le 4 juillet 2026, conformément aux pratiques de divulgation responsable. Aptos rappelle disposer d’un programme de bug bounty pouvant aller jusqu’à 1 million de dollars pour les vulnérabilités majeures.
Pour les investisseurs, l’épisode remet en lumière les enjeux de sécurité autour de la Move VM, initialement développée dans le cadre du projet Diem de Meta, conçue avec la sûreté comme principe fondateur. Aptos se positionne face à Sui, autre Layer 1 basé sur Move, et face à Solana ainsi qu’aux solutions de passage à l’échelle d’Ethereum. Même contestée, l’évaluation d’un risque systémique de 70 Md$ s’invite dans l’analyse des équipes DeFi au moment de choisir où déployer, et dans l’appréciation du bilan de sécurité des couches de base.