logo
$7M Ultimate Champion
Inscrivez-vous et obtenez 15 000 USDT en récompenses
Une offre limitée vous attend !

Sécurité d'Aptos et Sui après la faille Move de 70 milliards de dollars : analyse 2026

Points clés

Hexens a révélé une faille de 70 Mds $ dans la VM Aptos Move, corrigée sans perte de fonds. Impacts pour Aptos, Sui et les détenteurs.

Le 4 juillet 2026, la société Hexens a révélé qu’un bug de type-confusion dans la machine virtuelle Aptos Move aurait pu mettre près de 70 milliards de dollars en jeu de façon théorique. Les chercheurs ont reproduit l’exploit dans un environnement Aptos simulé sur un serveur à 3 000 $, atteignant un taux de réussite de 90 % environ, avant d’alerter l’équipe Aptos fin février. La faille a été corrigée avant d’affecter le mainnet, aucune perte de fonds n’est à déplorer.

Un chiffre aussi élevé interroge tous les détenteurs d’actifs basés sur Move. Aptos et Sui reposent sur le même langage issu du projet Diem (Meta), et Movement et Sei appartiennent à la même famille. Si une faille peut exposer 70 milliards sur Aptos, faut-il s’inquiéter pour tout l’écosystème Move ?

Voici la nature exacte de la faille, son impact réel, les différences de risques entre Aptos et Sui, et ce que cela implique pour les détenteurs de jetons APT ou SUI, sachant que la vulnérabilité a été corrigée avant toute exploitation sur le réseau principal.

La faille des 70 milliards : explications

Hexens décrit une faille de cache obsolète créant une vulnérabilité de type-confusion : la machine virtuelle pouvait être induite en erreur et traiter une ressource on-chain comme une autre. Dans un langage centré sur la gestion de ressources réelles et de permissions, confondre les types représente un risque majeur pouvant permettre à un attaquant de forger des droits d’accès non obtenus.

Le chiffre de 70 milliards correspond à une estimation systémique, et ne représente pas une somme bloquée dans un seul contrat. Il agrège tout ce qu’un attaquant aurait pu théoriquement atteindre via des droits falsifiés, y compris la valeur transitant par les bridges, la messagerie inter-chaînes, l’administration de stablecoins et les actifs gardés par des plateformes centralisées connectées à la chaîne. Les capacités protocolaires de LayerZero, Wormhole et du système de transfert cross-chain d’USDC étaient concernées.

Deux points ont évité la catastrophe : la faille a été signalée en privé et corrigée plusieurs mois avant tout usage public ; l’exploit a été testé en laboratoire, pas sur le réseau principal. L’intérêt de cette analyse réside dans le coût modeste de la découverte : il n’a pas fallu un budget d’État, mais un serveur moyen et une bonne connaissance interne de la VM Move.

Qu’est-ce que Move et quelles blockchains l’utilisent ?

Move est un langage de programmation orienté ressource, conçu par l’équipe derrière Diem, le projet stablecoin de Meta. L’idée centrale : les actifs numériques sont des ressources qui ne peuvent qu’être déplacées, jamais copiées ou supprimées. Ce modèle élimine une catégorie entière de bugs ayant coûté des milliards sur d’autres plateformes, d’où sa popularité chez les développeurs.

Move est donc un « plan » partagé, sur lequel plusieurs équipes indépendantes ont bâti leur propre blockchain. Aptos utilise un modèle basé sur les comptes avec un moteur d’exécution parallèle (Block-STM). Sui a réécrit le modèle autour d’objets individuels, avec son propre dialecte, Sui Move, sur une machine virtuelle distincte. Movement (MOVE) vise à offrir la compatibilité Ethereum, et Sei propose une architecture parallèle.

Point clé : contrairement à l’effet d’annonce des 70 milliards, il faut distinguer le langage Move et son implémentation par chaque équipe. Le langage fixe les règles de type, propriété et accès. La VM applique ces règles à l’exécution, y compris le vérificateur de bytecode et la couche de cache où vivait la faille. Un bug dans le code d’une équipe ne remet pas en cause le design global.

La faille a-t-elle affecté Sui ou uniquement la VM d’Aptos ?

C’est la distinction entre un problème Aptos et un problème Move. En réalité, la faille était limitée à Aptos. La condition de cache obsolète était présente dans la VM Move d’Aptos, développée en interne pour accélérer l’accès aux ressources. Sui ne partage pas ce code.

Sui exécute Sui Move sur une VM développée séparément par Mysten Labs, avec un modèle de propriété centré sur les objets, fondamentalement différent de celui d’Aptos. Les deux chaînes partagent la philosophie Move, mais diffèrent tant dans l’implémentation qu’un bug de cache sur l’une ne peut se propager à l’autre. Sui n’a donc pas été exposée, et Movement ni Sei n’utilisent le code Aptos concerné.

À noter : il s’agissait d’une erreur d’implémentation, non d’une faiblesse du système de types Move. Les règles de gestion des ressources sont restées intactes. Le bug portait sur la gestion du cache dans une VM, une erreur qui peut survenir dans tout environnement à haute performance. Le risque dépend donc des pratiques d’audit et de divulgation de chaque équipe.

Aptos vs Sui : deux blockchains Move, deux profils de risques

Les deux chaînes sont issues de Diem, mais ont évolué différemment. Aptos est en avance sur les stablecoins et l’adoption institutionnelle, tandis que Sui dispose d’une économie on-chain plus développée (voir la DeFi sur Sui). Voici leur situation à mi-2026 :

Dimension Aptos (APT) Sui (SUI)
Lancement et équipe Mainnet 2022, Aptos Labs (ex-Meta Diem) Mainnet 2023, Mysten Labs (ex-Meta Diem)
Modèle de données Basé sur les comptes Centré sur les objets
Dialecte Move Core Move Sui Move (VM distincte)
Consensus Aptos BFT avec Block-STM Mysticeti, finalité sub-seconde
Capitalisation stablecoins Leader Move, env. 1,6 Mrd $ Env. 700 M $
TVL DeFi ~1 Mrd $ au pic Plus élevé, jusqu’à 2,6 Mrd $
Exposition à la faille de juillet Corrigée, aucun fond perdu Non concerné

Aucune des deux chaînes n’est « plus sûre » par nature. Aptos a fait face à un incident sérieux, résolu rapidement et sans perte, ce qui témoigne d’une réactivité solide. Sui a évité ce bug car sa VM est différente, non parce que Move serait invulnérable. Mais la TVL DeFi de Sui concentre davantage de valeur en cas de problème.

Conséquences pour les détenteurs d’APT ou SUI

Le bilan est plus rassurant que le titre ne laisse penser : la faille a été repérée par des experts, signalée de manière responsable et corrigée avant tout impact. Cela montre un processus de sécurité fonctionnel. Ce qu’il faut craindre, ce sont les chaînes où les failles sont exploitées avant d’être corrigées, avec des pertes à la clé.

Cet événement confirme que ces blockchains sont jeunes et performantes, avec une surface d’attaque encore en exploration. Un simple serveur à 3 000 $ a permis de détecter une faille systémique de 70 milliards, ce qui signifie que d’autres vulnérabilités restent possibles, pour Aptos comme pour Sui. Il ne s’agit pas d’éviter les actifs Move mais d’investir en conscience, en tenant compte d’un risque d’infrastructure plus élevé que sur Bitcoin, et en privilégiant les projets avec des programmes de bug bounty et des audits publics.

Pour les traders court terme, l’impact a été limité car aucun fonds n’a été subtilisé. Pas d’effet domino ni d’insolvabilité de protocole à intégrer dans les prix. Il s’agit surtout d’un point de réputation, pas d’un événement financier, et le jeton APT a résisté à l’annonce sans chute significative.

FAQ

Sui a-t-elle été affectée par la faille Aptos ?

Non. Le bug était propre à la VM Move d’Aptos, que Sui n’utilise pas. Sui fonctionne avec sa propre VM et son langage Sui Move, donc cette faille ne l’a pas concernée.

Les 70 milliards étaient-ils réellement à risque d’être volés ?

Non directement. Il s’agissait d’une estimation systémique—tout ce qu’un attaquant aurait pu atteindre via des permissions falsifiées, bridges et flux de stablecoins inclus. Mais aucun fonds n’a été perdu : Aptos a corrigé la faille avant divulgation publique.

Le langage Move est-il en lui-même vulnérable ?

La faille relevait d’une erreur d’implémentation, pas d’une faiblesse du système de types Move. Le modèle de ressources a tenu. Move reste solide pour prévenir la duplication d’actifs, mais aucun langage ne protège contre les erreurs logicielles d’exécution.

Faut-il vendre ses APT ou SUI à cause de cela ?

Aucune raison liée à cette faille. Aucun fonds n’a été perdu et la vulnérabilité est corrigée. Il convient toutefois d’adapter la taille de ses positions au fait que ces réseaux sont récents, donc plus exposés, et de privilégier les projets avec audit public et bug bounty.

Conclusion

Le chiffre de 70 milliards est réel, mais évoque une menace évitée, non une perte. Hexens a découvert une faille critique dans la VM Aptos, corrigée en privé en février sans impact sur les fonds mainnet. Sui, Movement et Sei n’ont pas été exposés car chaque VM est séparée. Il faudra suivre les communications post-mortem d’Aptos et les audits des autres chaînes Move, car l’enseignement principal reste qu’un serveur à 3 000 $ peut révéler un risque à neuf chiffres sur toute blockchain jeune à haute performance. Adaptez la taille de vos positions Move à cette réalité, et considérez les bug bounties publics comme un critère important.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques importants. Faites toujours vos propres recherches avant toute décision de trading.

Inscrivez-vous et réclamez 15000 USDT
Avertissement
Le contenu fourni sur cette page est uniquement à des fins informatives et ne constitue pas un conseil en investissement, sans représentation ni garantie d'aucune sorte. Il ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel, ni destiné à recommander l'achat d'un produit ou service spécifique. Vous devez consulter vos propres conseillers professionnels pour obtenir des conseils appropriés. Les produits mentionnés dans cet article peuvent ne pas être disponibles dans votre région. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut augmenter ou diminuer et vous ne récupérerez peut-être pas le montant investi. Pour plus d'informations, veuillez consulter nos Conditions d'utilisation et la Divulgation des risques.