Avis : analyse éditoriale basée sur des données vérifiées au 9 juillet 2026. La vulnérabilité a été signalée le 25 février 2026, corrigée en quelques heures et révélée publiquement le 4 juillet 2026. Aucun fonds n'a été dérobé et aucun utilisateur n'a été affecté : il s'agit d'une divulgation responsable et non d'une attaque exécutée. Ce contenu ne constitue pas un conseil financier ou de sécurité. Les chiffres proviennent des recherches de CoinDesk, de la firme de sécurité Hexens et de couvertures tierces (CryptoBriefing, SiliconANGLE) ; ils peuvent être ajustés si Aptos Labs publie un post-mortem technique détaillé. CleanSky ne reçoit aucune commission ni paiement de parrainage des projets mentionnés.

Un serveur à 3 000 dollars, sans accès privilégié, a suffi pour démontrer une faille dans la Move VM (l'environnement qui exécute chaque contrat intelligent d'Aptos) qui — selon la firme l'ayant découverte — exposait théoriquement jusqu'à 70 milliards de dollars répartis entre stablecoins, bridges (les infrastructures déplaçant les actifs entre blockchains) et protocoles connectés au réseau. Précisons-le d'emblée, car presque tous les titres l'omettent : pas un centime n'a été volé. La firme de sécurité Hexens a signalé la faille à Aptos le 25 février 2026 via des canaux d'urgence, et Aptos l'a corrigée sur le mainnet en quelques heures. L'histoire complète n'a été rendue publique que le 4 juillet, lors de sa reconstruction par CoinDesk. Cette analyse, en date du 9 juillet 2026, ne traite pas d'un désastre — il n'y en a pas eu. Elle traite de quelque chose de plus inconfortable : comment un point de confiance unique sur une chaîne peut propager un risque à une demi-douzaine de protocoles dont les utilisateurs ignoraient même qu'ils en dépendaient. Nous expliquons ce qu'Hexens a trouvé, d'où provient réellement ce chiffre de 70 milliards (et pourquoi il ne s'agit pas d'« argent à risque aujourd'hui »), la réponse d'Aptos Labs et les leçons que ce cas laisse à quiconque utilise un bridge cross-chain.

Qu'a trouvé Hexens exactement dans la Move VM d'Aptos ?

La faille résidait dans la Move VM, le moteur qui traite chaque transaction et chaque contrat intelligent d'Aptos. Hexens l'a décrite comme un stale-cache bug (bug de cache obsolète) : dans certaines conditions, l'environnement d'exécution continuait d'utiliser une version périmée d'une donnée déjà modifiée. Cette incohérence entraînait une type confusion (confusion de types), un état où le logiciel peut être trompé pour traiter un type de ressource on-chain comme s'il s'agissait d'un autre.

Traduit en conséquences : un attaquant pouvait détourner des structs et des ressources d'autorité — les structures de données qui, dans Move, définissent qui possède quoi et qui a la permission de faire quoi —. En pratique, quiconque exploitait la faille aurait pu s'arroger des capacités indues sur les actifs et les protocoles du réseau. L'attaque réécrit le registre qui définit la propriété de chaque élément et compte sur le fait que tout le reste obéisse à ce registre corrompu.

Le découvreur est Vahe Karapetyan, CTO et cofondateur d'Hexens. Son équipe ne s'est pas arrêtée à la théorie : elle a construit une preuve de concept (PoC, une démonstration fonctionnelle de la viabilité de l'attaque) et l'a simulée dans des conditions de réseau réelles. Selon la reconstruction de CoinDesk, la firme d'analyse Grego AI a vérifié indépendamment cette preuve de concept avant que le chiffre du risque ne soit rendu public.

Pourquoi un serveur à 3 000 dollars a-t-il pu démontrer une faille si grave ?

Les chercheurs n'ont eu besoin ni d'un centre de données, ni d'un accès privilégié. Avec un serveur bien dimensionné d'environ 3 000 dollars, ils ont réussi à simuler près d'un tiers du réseau de validateurs d'Aptos, et avec cette capacité, ils ont reproduit l'attaque avec plus de 90 % de succès dans des conditions réelles, sans aucun permis spécial.

Le contraste constitue le véritable titre : 3 000 dollars de coût face à une exposition théorique de 70 milliards. C'est un ratio de levier de plus de vingt millions contre un entre le coût de l'attaque et ce qui — dans le pire des scénarios — pouvait être touché. En sécurité, ce déséquilibre est le signal d'alarme le plus important : quand le coût pour briser quelque chose est trivial et que la valeur derrière est énorme, le seul rempart restant est que personne n'essaie avant que vous ne répariez.

VariableMagnitude
Coût de l'équipement de l'attaquant~3 000 $
Fraction du réseau de validateurs simulée~1/3
Taux de réussite de la simulation~90 %
TVL natif d'Aptos directement à risque~250 000 000 $
Risque systémique de premier ordre estimé~70 000 000 000 $

TVL signifie total value locked (valeur totale verrouillée) : la somme des actifs déposés dans les protocoles d'un réseau. Les 250 millions représentent le TVL natif d'Aptos que Grego AI — la firme ayant vérifié indépendamment la PoC d'Hexens — a calculé comme étant directement compromissible. Les 70 milliards sont autre chose — et méritent leur propre section, car c'est le chiffre le plus mal interprété.

D'où vient le chiffre de 70 milliards et que cache-t-il ?

Il s'agit d'une exposition théorique agrégée, et non d'argent perdu ou d'« argent à risque aujourd'hui ». L'estimation de 70 milliards provient d'Hexens et repose sur un scénario de contagion concret, et non sur les fonds qu'Aptos détient sur son propre réseau. Le raisonnement, selon CoinDesk, est le suivant : si l'attaquant peut détourner des ressources d'autorité, il pourrait émettre une quantité colossale de USDC frauduleux, puis les déplacer entre les chaînes en utilisant le CCTP de Circle (Cross-Chain Transfer Protocol, le mécanisme qui brûle l'USDC sur un réseau pour le réémettre en tant qu'USDC natif sur un autre).

En d'autres termes : les 70 milliards ne sont pas « sur Aptos ». Ils représentent l'ampleur des dommages qui pourraient se propager vers l'extérieur si la faille était utilisée comme levier pour falsifier des stablecoins et les injecter, une fois « blanchis », dans le reste de l'écosystème cross-chain. C'est une estimation de contagion multi-sauts — via les bridges, les stablecoins, les routes d'exchanges centralisés et les flux d'administration — qui suppose que tout le parcours soit effectué sans que personne ne l'arrête. Aptos Labs, de son côté, a qualifié l'exploitabilité réelle de ce scénario d'« extrêmement faible ».

Pour dimensionner ces 70 milliards, il convient de les comparer à ce qui a réellement été volé sur des bridges. Les plus grands désastres cross-chain de l'histoire récente — le hack du bridge Ronin en 2022 (environ 625 millions de dollars) ou celui de Wormhole la même année (environ 320 millions) — se situent dans la fourchette des centaines de millions. L'exposition théorique qu'Hexens attribue à la faille d'Aptos est supérieure de deux ordres de grandeur à n'importe lequel d'entre eux. Non pas parce que l'argent « attendait » là, mais parce que le vecteur permettait de fabriquer une nouvelle valeur — des USDC frauduleux — au lieu de se limiter à vider l'existant. C'est la différence entre voler dans un coffre-fort et falsifier le billet de banque.

Les deux affirmations sont vraies simultanément, et une analyse honnête est celle qui n'en occulte aucune. La première : l'attaque n'a jamais eu lieu et la fenêtre s'est refermée en quelques heures. La seconde : le fait qu'une faille locale sur une chaîne puisse se traduire par un chiffre à onze chiffres englobant des protocoles tiers révèle à quel point l'infrastructure cross-chain est enchaînée par une confiance partagée. Minimiser ce montant serait aussi malhonnête que de le présenter comme de l'argent volé.

Quels protocoles faisaient confiance à Aptos à l'insu de leurs utilisateurs ?

C'est l'angle qui transforme une vulnérabilité d'une seule chaîne en une question systémique. LayerZero, Wormhole et Circle CCTP — trois pièces maîtresses par lesquelles circule une grande partie de la valeur cross-chain — appuient une partie de leur fonctionnement sur la validation d'état d'Aptos ; c'est pourquoi Hexens a pu chiffrer à 70 milliards l'exposition théorique agrégée d'une faille logée sur une autre chaîne. Lorsque vous confiez votre argent à un bridge ou à un stablecoin, vous supposez que sa sécurité dépend de son code, et vous pensez rarement qu'elle dépend aussi de l'intégrité de la machine virtuelle d'un réseau que vous n'utilisez peut-être même pas.

ProtocoleFonctionSupposition de l'utilisateurExposition au vecteur
LayerZeroMessagerie entre blockchainsLes messages sont validés indépendammentCapacités détournables si l'état d'Aptos ment
WormholeBridge et messagerie cross-chainLes gardiens valident chaque transfertRessources d'autorité manipulables depuis Aptos
Circle CCTPÉmission et combustion d'USDC natif entre réseauxChaque émission est adossée à une combustion réelleÉmission potentiellement frauduleuse et mobile entre chaînes

Le schéma est le même que celui observé lors de l'empoisonnement de registre de Gravity Bridge : on n'attaque pas le coffre-fort, on attaque la source de vérité en laquelle tous les coffres connectés ont confiance. La différence réside dans l'échelle. Là-bas, un bridge communautaire. Ici, le moteur d'exécution d'une chaîne entière dont dépendent des protocoles gérant des milliards. À la date de cette analyse, il n'apparaît pas que LayerZero, Wormhole ou Circle aient émis leurs propres déclarations publiques sur leur exposition à ce vecteur spécifique. Ce silence est également révélateur : au 9 juillet, aucun des trois n'a publié ses propres métriques sur sa surface de risque partagée, et la majorité des utilisateurs de ces bridges ignoraient totalement qu'ils partageaient un risque avec Aptos.

Quelle a été la réponse d'Aptos Labs et pourquoi a-t-il fallu 130 jours pour le savoir ?

La réponse technique d'Aptos a été, d'après ce que l'on sait, rapide et correcte. Un porte-parole a déclaré à CoinDesk : « Aptos Labs a été notifié d'un problème potentiel via notre programme de bug bounty le 25 février, lequel était déjà en cours de tri interne à ce moment-là. Un correctif a été développé, testé et déployé sur le mainnet en quelques heures après la découverte. Aucun utilisateur ni fonds n'a été affecté à aucun moment. » Le 27 février, une pull request publique sur le dépôt a documenté le patch et son lien avec le programme de récompenses.

La chronologie laisse entrevoir la partie la moins commentée : entre le correctif (fin février) et la révélation complète de CoinDesk (4 juillet), près de 130 jours de silence se sont écoulés concernant la portée réelle de la faille. C'est ainsi que fonctionne la divulgation responsable lorsque l'enjeu concerne une infrastructure critique.

DateÉtape clé
25 fév 2026Hexens signale la faille via les canaux d'urgence ; Aptos effectuait déjà un tri interne
25-26 fév 2026Aptos développe, teste et déploie le patch sur le mainnet en quelques heures
27 fév 2026Une pull request publique documente la correction et la lie au programme de bug bounty
4 juil 2026CoinDesk publie l'enquête complète : nomme Aptos, Hexens et le chiffre de 70 milliards

Concernant la récompense spécifique perçue par Hexens pour cette découverte, aucun chiffre n'est public. Ce qui est documenté, ce sont les plafonds du programme de bug bounty d'Aptos : jusqu'à 250 000 dollars pour une vulnérabilité critique dans le programme d'Aptos Labs et jusqu'à un million dans celui d'Aptos Foundation, selon HackenProof. Aucun média n'a publié le montant payé dans ce cas, et il convient de ne pas le confondre avec d'autres récompenses records du même printemps correspondant à des découvertes distinctes.

Qu'est-ce que la divulgation responsable et pourquoi le délai est-il la norme ?

La divulgation responsable (responsible disclosure) est le pacte tacite de la sécurité sérieuse : celui qui trouve une faille la communique en privé à l'équipe concernée, lui laisse le temps de corriger et ne publie les détails que lorsque le correctif est déployé. Dans ce cas, le scénario canonique a été suivi : Hexens a communiqué la faille en privé le 25 février, Aptos a corrigé en quelques heures et les détails n'ont été rendus publics que le 4 juillet, avec une marge de 129 jours après le patch. Publier le jour même aurait offert la carte de l'attaque alors que la porte était encore ouverte sur les nœuds non mis à jour.

C'est pourquoi ces 130 jours, loin d'être un défaut, sont le signe le plus sain du cas Aptos. Le patch est arrivé en quelques heures ; la révélation publique, des mois plus tard, quand il n'y avait plus rien qu'un tiers puisse exploiter. Le programme de bug bounty a fait exactement ce qu'il devait faire : transformer une découverte potentiellement catastrophique en un patch silencieux et une leçon publique.

Le contrepoint légitime est que ce silence laisse également les utilisateurs des protocoles connectés — LayerZero, Wormhole, Circle — sans savoir, pendant des mois, qu'ils ont été exposés. La divulgation responsable protège de l'attaquant, mais transfère à l'utilisateur une asymétrie d'information qui ne se résorbe que lorsque quelqu'un, comme ici CoinDesk, reconstitue l'histoire. C'est le compromis central de ce modèle, et il n'existe pas de solution parfaite.

Quelles leçons ce cas laisse-t-il pour les utilisateurs de bridges cross-chain ?

La première est une question de perspective : une faille corrigée sans vol est la meilleure nouvelle possible, bien que souvent mal racontée. Qu'un chercheur avec un serveur à 3 000 dollars trouve et démontre le problème avant un attaquant malveillant prouve que le système fonctionne. Le fait qu'il ait été trouvé par quelqu'un ayant de bonnes intentions a évité la seule issue réellement tragique : qu'il soit trouvé par quelqu'un prêt à l'exploiter.

La seconde est plus inconfortable pour l'utilisateur. Lorsque vous déposez des fonds dans un bridge ou détenez un stablecoin, votre risque ne s'arrête pas au code de ce produit : il s'étend à toutes les chaînes et machines virtuelles dont ce produit dépend pour établir la vérité. Cette surface de confiance partagée apparaît rarement dans l'interface que vous utilisez. Comme nous l'avons expliqué en analysant pourquoi les hacks visent de plus en plus l'infrastructure et non les contrats, le maillon faible s'est déplacé du verrou vers le système qui décide quel verrou ouvrir.

La troisième est que le plafond allant jusqu'à un million de dollars du programme de Aptos Foundation a rendu plus rentable pour Hexens de signaler la faille que de vendre l'exploit. Cette arithmétique — récompense légitime face au butin illicite — a été la véritable barrière qui a empêché ce cas de devenir le plus grand incident cross-chain de l'histoire. Si vous voulez comprendre comment cet épisode s'inscrit dans le panorama plus large de la sécurité on-chain de 2026, notre bilan des hacks du premier semestre et le guide qu'est-ce qu'un pont cross-chain apportent le contexte que la plupart des couvertures de ce cas ont omis.

Sources et liens : CoinDesk · comment des hackers éthiques avec un serveur à 3 000 $ ont trouvé une faille qui aurait pu exposer 70 milliards de dollars (4-juil-2026) · CryptoBriefing — Aptos fixes critical Move VM vulnerability · SiliconANGLE — Grego AI debuts, record $250,000 AI-found bounty (12-mai-2026) · GitHub — aptos-labs/aptos-core (dépôt officiel ; pull request du patch, 27-fév-2026) · HackenProof — programme de récompenses d'Aptos Foundation (plafond de 1 million de dollars)

Articles liés : Gravity Bridge : 5,4 millions volés sans dérober la clé. Pourquoi les hacks visent l'infrastructure, pas les contrats. Qu'est-ce qu'un bridge cross-chain et pourquoi sont-ils le maillon faible. Surveillez votre portefeuille et les positions de vos actifs sur CleanSky — car savoir sur quelles chaînes et bridges vit votre argent est la première étape pour comprendre à quels risques vous êtes réellement exposé.