Un bug de cache obsolète dans la Move VM d'Aptos a offert aux chercheurs un taux de réussite de près de 90 % pour briser les garanties de sécurité fondamentales de la chaîne, pour un coût d'attaque de quelques centaines de dollars seulement.
Un bug de cache obsolète dans la Move VM d'Aptos a offert aux chercheurs un taux de réussite de près de 90 % pour briser les garanties de sécurité fondamentales de la chaîne, pour un coût d'attaque de quelques centaines de dollars seulement.

Un bug de cache obsolète dans la Move VM d'Aptos a offert aux chercheurs un taux de réussite de près de 90 % pour briser les garanties de sécurité fondamentales de la chaîne, pour un coût d'attaque de quelques centaines de dollars seulement.
Un serveur de 3 000 dollars a suffi à des chercheurs en sécurité pour simuler une attaque sur la blockchain Aptos qui aurait pu mettre jusqu'à 70 milliards de dollars d'infrastructures crypto en danger, selon des conclusions publiées vendredi.
« Cela a fonctionné comme annoncé, et l'exploit avait du sens », a déclaré Mudit Gupta, directeur technique de Polygon, à CoinDesk après avoir examiné indépendamment les preuves de concept. « Cela nécessitait que quelques conditions soient réunies, ce qui semble avoir été le cas sur le mainnet. »
Les chercheurs d'Hexens, une société de sécurité blockchain, ont identifié un bug de cache obsolète menant à une vulnérabilité de confusion de types dans la machine virtuelle Aptos Move, l'environnement d'exécution qui traite les smart contracts sur la chaîne. L'équipe a exécuté le chemin d'exploitation environ 20 fois dans un environnement simulé et a réussi 17 ou 18 fois — un taux de réussite de près de 90 % — en utilisant une configuration de serveur coûtant environ 3 000 dollars pour simuler environ un tiers du réseau de validateurs. L'attaque ne nécessitait aucun accès interne ni autorisation spéciale.
La vulnérabilité a été signalée via les canaux d'urgence SEAL911 le 25 février, et Aptos a déployé un correctif sur le mainnet en quelques heures. Aucun fonds n'a été perdu. Mais cette divulgation montre comment un seul bug non détecté dans la couche d'exécution d'une blockchain de couche 1 pourrait se propager à travers les ponts, les émetteurs de stablecoins et les bourses centralisées, transformant un défaut de protocole circonscrit en une crise systémique.
Comment fonctionnait le bug
La sensibilité de cette classe de bug réside dans la manière dont le langage Move gère l'autorité. Les permissions de protocole dans Move — y compris le droit de frapper un stablecoin, de contrôler un pont ou d'administrer un marché de prêt — sont stockées directement en tant que ressources onchain. Si ces ressources sont compromises, les dégâts s'étendent à tout ce qui leur fait confiance.
Les chercheurs d'Hexens ont comparé ce bug à une faille sur une chaîne de type Ethereum qui permettrait à un code contrôlé par un attaquant d'écrire dans le stockage appartenant à d'autres contrats, contournant ainsi les garanties du système de typage que Move a été spécifiquement conçu pour défendre.
Grego AI, qui a vérifié indépendamment la preuve de concept d'Hexens, a calculé qu'environ 250 millions de dollars de valeur totale verrouillée (TVL) native d'Aptos étaient directement en danger sur la base du taux de réussite de près de 90 %, sans compter l'exposition inter-chaînes plus large.
Le risque systémique de 70 milliards de dollars
Hexens a estimé que le risque systémique de premier ordre plus large était d'environ 70 milliards de dollars — un montant qui inclut la valeur accessible via les ponts, les systèmes de messagerie inter-chaînes, les flux d'administration de stablecoins et les bourses centralisées. Grego AI a noté que l'exploit pourrait également être utilisé pour voler les capacités de protocole détenues par LayerZero, Wormhole et le protocole de transfert inter-chaînes d'USDC.
« Si des acteurs malveillants avaient eu accès à ce bug, ils auraient pu prendre toute la TVL qu'ils souhaitaient », a déclaré Justus Hanna, PDG de Grego AI.
L'estimation de 70 milliards de dollars est basée sur la frappe d'une grande quantité d'USDC et l'utilisation du CCTP de Circle pour le déplacer entre les chaînes. En pratique, Circle pourrait interrompre les transferts USDC, bien que l'émetteur de stablecoins ait été critiqué après avoir déclaré qu'il ne gelait pas les actifs sans autorisation légale. Néanmoins, les chercheurs ont démontré un accès aux rôles de master-minter, aux capacités de signature de ponts et à l'état comptable des protocoles — le type d'autorités qui se situent au sommet des systèmes inter-chaînes.
Le vecteur dominant vers la surface plus large passe par les bourses centralisées, en particulier les voies de pont Aptos qui relient l'activité onchain au crédit de dépôt des bourses.
Réponse et divulgation
Le jour même du dépôt du rapport d'Hexens, une salle de crise d'urgence SEAL911 a été ouverte pour coordonner la réponse. Le fournisseur a été informé quelques heures plus tard, et quatre grands projets en aval ont été alertés cet après-midi-là, chacun recevant du matériel de preuve de concept exécutable localement et une analyse des modèles d'autorité pertinents.
Une demande de tirage publique reflétant le correctif est devenue disponible le 27 février. Aptos a déclaré qu'un correctif de validateur privé avait été déployé avant le commit public. Un porte-parole d'Aptos a déclaré à CoinDesk qu'« un correctif a été développé, testé et déployé sur le mainnet en quelques heures après la découverte. Aucun utilisateur ni fonds n'a été impacté à aucun moment. » Le porte-parole a également contesté l'exploitabilité pratique du bug, affirmant que l'analyse de la société avait déterminé qu'il aurait une « exploitabilité extrêmement faible dans des conditions réelles. »
Hexens a déclaré n'avoir reçu aucune réfutation technique ni argument fondé sur des preuves contestant les classes d'impact démontrées. La société a indiqué que la principale préoccupation relayée aux chercheurs concernait les aspects probabilitstes de l'exploit — précisément ce que le travail de calibrage de l'équipe visait à traiter.
Si un attaquant avait trouvé et exploité le bug, cela aurait pu éclipser les 1,5 milliard de dollars volés lors du piratage de Bybit l'année dernière. En juin, Zcash a chuté de 38 % après que les développeurs ont révélé un bug critique passé inaperçu dans son pool de confidentialité pendant quatre ans, qui aurait permis à un attaquant de créer des jetons contrefaits en quantité illimitée. La divulgation d'Aptos s'ajoute à une liste croissante de quasi-accidents qui mettent à l'épreuve la capacité de l'industrie à détecter et corriger les failles critiques avant qu'elles ne soient exploitées.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.