Des chercheurs de Hexens ont identifié une vulnérabilité critique dans la blockchain Aptos qui aurait pu exposer jusqu'à 70 milliards de dollars d'actifs cryptographiques. Le problème a été signalé le 25 février et corrigé en quelques jours, sans aucune perte de fonds.
Des hackers éthiques de la société de sécurité Hexens ont découvert un bug de cache obsolète dans la machine virtuelle Move d'Aptos. La faille permettait des attaques potentielles par confusion de types, capables de contourner les garanties de sécurité fondamentales du langage de programmation Move.
L'équipe a simulé l'attaque en utilisant une configuration de serveur à 3 000 dollars qui représentait environ un tiers du réseau de validateurs. Ils ont atteint un taux de réussite supérieur à 90 pour cent sur environ 20 tests effectués dans des conditions correspondant au trafic du réseau principal et à la répartition des jetons en jeu (staking).
Aptos Labs a reçu le rapport via son programme de bug bounty le 25 février. Un correctif a été développé, testé et déployé sur le réseau principal en quelques heures. Un porte-parole d'Aptos a déclaré qu'aucun utilisateur ni aucun fonds n'ont été affectés.
Des examinateurs indépendants, dont Mudit Gupta de Polygon, ont confirmé que la preuve de concept fonctionnait comme décrit. Grego AI a estimé séparément qu'environ 250 millions de dollars en valeur native Aptos étaient directement menacés, tandis qu'une exposition inter-chaînes plus large aurait pu atteindre le chiffre systémique plus élevé.