
Un serveur à 3 000 dollars a failli déclencher une catastrophe crypto de 70 milliards de dollars
TechFlow SélectionTechFlow Sélection

Un serveur à 3 000 dollars a failli déclencher une catastrophe crypto de 70 milliards de dollars
Un hacker en chapeau blanc a découvert une vulnérabilité de 70 milliards de dollars sur la blockchain Aptos, alors que le coût d'attaque ne s'élève qu'à 3 000 dollars.
Rédaction : Oliver Knight
Compilation : Chopper, Foresight News
Un serveur d'une valeur de 3 000 dollars suffit à un chercheur en sécurité blockchain pour simuler une voie d'attaque qui, selon eux, pourrait mettre en danger une infrastructure crypto d'une valeur allant jusqu'à 70 milliards de dollars.
Le protagoniste de cet incident de vulnérabilité est la blockchain publique Aptos, basée sur le langage Move, lequel provient du projet de stablecoin Diem, mis en veille par Meta.
Fin février, des chercheurs de la société de sécurité Hexens ont signalé une vulnérabilité critique dans la machine virtuelle Aptos Move, responsable de l'exécution des smart contracts sur la chaîne, à l'équipe de développement d'Aptos. La nature de la vulnérabilité est un défaut de confusion de type causé par une invalidation du cache : les attaquants peuvent falsifier le cache pour tromper le système afin qu'il identifie une ressource sur la chaîne comme une autre.
L'équipe d'Aptos a déployé un correctif sur l'ensemble du réseau après avoir reçu le rapport de vulnérabilité, sans qu'aucun vol d'actifs d'utilisateurs ne soit survenu tout au long du processus.
Un porte-parole d'Aptos a répondu à CoinDesk : « Le 25 février, nous avons reçu le signalement de ce risque potentiel via notre programme de bug bounty, et des vérifications de vulnérabilité ont été lancées en interne simultanément. L'équipe a terminé la réparation, les tests et le déploiement sur le mainnet en quelques heures après la confirmation de la vulnérabilité, sans qu'aucun utilisateur ou fonds ne soit endommagé. » Cependant, les officiels ont également émis des objections quant au niveau d'exploitabilité réel de la vulnérabilité, affirmant qu'après analyse interne, il était presque impossible de mener une attaque dans un environnement en ligne réel. Néanmoins, les détails de la vulnérabilité divulgués par l'équipe de sécurité révèlent que l'ensemble de l'industrie crypto a échappé de justesse à une catastrophe majeure capable de remodeler le paysage du secteur.
Le risque extrêmement élevé de cette vulnérabilité trouve sa racine dans le mécanisme de stockage des permissions du langage Move : les permissions de frappe de monnaie, la gestion des bridges inter-chaînes, les administrateurs des marchés de prêt et autres permissions de protocole core sont toutes stockées directement sous forme de ressources sur la chaîne. Une fois ce type de ressources de permission compromis, le risque ne se limite pas à un seul protocole ; toutes les applications dépendant de cette permission seraient également compromises.
Les chercheurs de Hexens ont fourni une analogie simple : les dégâts de cette vulnérabilité équivalent à l'apparition d'un défaut critique sur une blockchain publique de type Ethereum, où le contrat d'un attaquant pourrait contourner le mécanisme de sécurité de type pour écrire directement et falsifier les données de stockage d'autres smart contracts — alors que la sécurité de type est précisément la barrière de protection centrale dès la conception du langage Move.
Mudit Gupta, directeur technique de Polygon, a vérifié indépendamment le package de démonstration de validation de la vulnérabilité et a confirmé que le processus d'attaque était réellement faisable : « L'ensemble de la logique d'attaque est totalement valable, la démonstration a été reproduite avec succès, et les conditions préalables nécessaires à l'attaque dans un environnement mainnet peuvent toutes être satisfaites. » L'agence de sécurité Grego AI a également reproduit indépendamment cette vulnérabilité, et ses données de calcul montrent qu'environ 250 millions de dollars d'actifs natifs verrouillés sur le mainnet d'Aptos seulement sont directement exposés au risque, sans compter les risques inter-chaînes plus larges.
Un risque de 70 milliards de dollars
Cette vulnérabilité a été découverte par Vahe Karapetyan, cofondateur et CTO de Hexens. Si elle n'avait pas été corrigée à temps, la vulnérabilité aurait pu ouvrir des expositions de risque sur toute la chaîne des bridges inter-chaînes, des stablecoins, de divers protocoles DeFi et des échanges centralisés, provoquant des pertes d'actifs de l'ordre de centaines de milliards et engendrant une crise pour l'ensemble du secteur.
La configuration de l'ensemble de l'environnement d'attaque ne nécessite qu'un serveur de 3 000 dollars ; pour mener l'attaque, un hacker malveillant n'a même pas besoin de simuler un cluster complet, avec un coût de seulement quelques centaines de dollars, et sans besoin de contrôler des nœuds de validation, de maîtriser des informations internes ou d'obtenir des permissions avancées du protocole.
L'équipe de recherche a mené environ 20 rounds de simulation d'attaque dans un environnement mainnet simulé, réussissant 17 à 18 fois. Les 2 à 3 échecs restants ne causeraient pas d'arrêt du réseau, et l'attaquant pourrait réessayer jusqu'à réussir. Le cluster de simulation reproduit l'environnement complet du vrai mainnet : configuration de plus de 30 nœuds de validation, reproduction de la distribution réelle du staking, replication du trafic de transactions quotidien et des scénarios de congestion de blocs. L'équipe a également utilisé une technologie de pré-calibrage sans attaque pour calculer l'état d'exécution du mempool et de l'empaquetage des blocs avant de lancer officiellement l'attaque, réduisant considérablement l'incertitude due au caractère aléatoire de l'attaque et augmentant considérablement le taux de succès en situation réelle.
Hexens a calculé sur la base de données on-chain publiques que l'exposition directe au risque des DeFi natifs d'Aptos, des actifs tokenisés, des stablecoins et des protocoles de liquid staking atteint seulement plusieurs milliards de dollars.
Or, le risque des vulnérabilités sous-jacentes des blockchains publiques ne se limite jamais à une seule chaîne. En combinant les expositions des bridges inter-chaînes, des protocoles de communication inter-chaînes, des chaînes d'émission de stablecoins, des échanges centralisés, etc., l'échelle du risque systémique global est estimée à jusqu'à 70 milliards de dollars. Justus Hanna, CEO de Grego AI, a déclaré que les attaquants pourraient utiliser cette vulnérabilité pour s'emparer des permissions de gestion core des infrastructures cross-chain principales telles que LayerZero, Wormhole et le protocole de transmission inter-chaînes CCTP, pouvant théoriquement vider tous les fonds verrouillés associés.
Ce test de simulation suffit à prouver que les vulnérabilités cachées sous-jacentes des blockchains publiques peuvent engendrer des risques industriels destructeurs.
Si des hackers utilisaient cette vulnérabilité pour lancer une attaque réelle, l'échelle des pertes dépasserait de loin l'incident de vol de 1,5 milliard de dollars de l'échange Bybit l'année dernière. Rien qu'en juin, Zcash a chuté de 38 % en raison d'une vulnérabilité critique cachée depuis quatre ans dans son pool de confidentialité, permettant aux attaquants de frapper indéfiniment des tokens contrefaits difficilement détectables ; avant cela, plusieurs incidents de vol de tokens via des bridges inter-chaînes et des smart contracts de l'ordre du milliard avaient déjà continuellement ébranlé la confiance du marché dans les infrastructures.
Le calcul du risque de 70 milliards de dollars est basé sur un scénario extrême où les attaquants frappent en masse des USDC et les transfèrent via le CCTP de Circle vers plusieurs blockchains. Théoriquement, si l'incident éclatait, Circle suspendrait probablement les transferts USDC, mais Circle avait précédemment déclaré qu'il ne gèlerait pas les actifs des utilisateurs sans autorisation judiciaire, ce qui crée une incertitude d'exécution. Même si les plateformes concernées interceptaient via un contrôle de risque d'urgence, l'impact de cette vulnérabilité dévasterait l'ensemble du marché crypto.
L'équipe de recherche a confirmé via une démonstration de validation que la vulnérabilité permet de s'emparer des permissions de gestion de haut niveau du système inter-chaînes, incluant les permissions de contrôle principal de frappe, les permissions de signature et le contrôle de la comptabilité du protocole. Ils ont reproduit intégralement le processus de prise de contrôle des permissions principales sans frapper réellement de tokens, mais ont clairement prouvé que ce risque doit être intégré dans le modèle de menace de sécurité. La voie de transmission principale de la vulnérabilité est le canal inter-chaînes connecté entre Aptos et les échanges centralisés, que les attaquants pourraient utiliser pour falsifier les données de comptabilité de dépôt des utilisateurs de l'échange.
Réponse et divulgation
Le même jour où Hexens a soumis le rapport, un groupe de réponse d'urgence nommé « SEAL911 » a été établi, chargé de coordonner les mesures de réponse. Quelques heures après la création du groupe de réponse, l'équipe du projet a reçu la notification complète de la vulnérabilité. Cet après-midi-là, quatre grands projets core en aval ont reçu simultanément les fichiers de démonstration de la vulnérabilité et l'analyse des risques de permissions.
Le 27 février, le dépôt de code officiel a publié les enregistrements de soumission de correction, et Aptos a indiqué que les correctifs privés des nœuds de validation avaient été déployés avant la mise en ligne du code public. Pendant ce temps, Hexens a déclaré n'avoir reçu à ce jour aucune réfutation technique étayée par des données de la part d'Aptos, l'autre partie ayant seulement soulevé qu'il existait un seuil probabiliste pour l'attaque.
Bien qu'aucun fonds n'ait été volé, les résultats de la simulation montrent que, dans les attaques au niveau de la blockchain, les limites de trafic, les gelés par les émetteurs de cartes, le contrôle inter-chaînes, la surveillance des échanges et les correctifs de validateurs ne sont pas des mesures de sécurité secondaires. Elles déterminent directement si une vulnérabilité est un petit incident local ou un effondrement systémique de l'ensemble du secteur.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News











