L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

Foresight NewsPublié le 2026-06-13Dernière mise à jour le 2026-06-13

Résumé

L'incident de piratage de Raydium, où environ 1,34 million de dollars d'actifs ont été volés via d'anciens pools de marché automatique (AMM) V3 abandonnés, met en lumière un risque négligé dans le DeFi : les contrats intelligents obsolètes mais toujours actifs sur la blockchain. Ces "contrats zombies", officiellement mis hors service mais techniquement exploitables, constituent une nouvelle catégorie de vulnérabilités liée à la gestion du cycle de vie des contrats. Depuis mars 2025, au moins 8 incidents similaires ont été recensés, causant des pertes d'environ 22,5 millions de dollars. Le problème vient du fait que les projets se concentrent sur les versions actuelles, négligeant de sécuriser les anciens contrats qui conservent des actifs et restent accessibles. Le contrat V3 de Raydium, par exemple, avait été abandonné suite à l'arrêt de Serum mais n'avait pas été correctement désactivé, permettant aux pirates de contourner ses contrôles obsolètes. Les plateformes de sécurité classent généralement les incidents par type de faille technique (code, oracle, clés...), masquant ainsi cette faille de gestion. Une étude académique propose pourtant de distinguer clairement les vulnérabilités de gestion du cycle de vie des contrats. Pour remédier à ce problème, il est crucial de créer une catégorie dédiée aux "contrats zombies" et d'établir un processus standardisé de désactivation sécurisée. Ce processus devrait inclure le retrait des actifs, la révocation des autorisations, la ...


Rédigé par : Gino Matos

Compilé par : Luffy, Foresight News


TL;DR :


  • Un pirate a volé environ 1,34 million de dollars d'actifs en exploitant les pools de liquidités du marché automatique (AMM) V3 de Raydium, pourtant désactivés depuis longtemps.
  • Cet incident met en lumière un problème répandu : les anciens contrats abandonnés par les projets DeFi restent opérationnels sur la blockchain. Ces infrastructures sous-jacentes oubliées sont désormais des cibles d'attaque faciles à négliger.
  • Des rapports publics indiquent qu'au moins 8 incidents de piratage similaires ciblant des contrats anciens se sont produits dans le secteur depuis mars 2025, ce qui signifie qu'une grande quantité de code ancien non géré reste accessible de l'extérieur.


Récemment, une vulnérabilité dans l'AMM V3 de Raydium a entraîné une perte de 1,34 million de dollars, liée à cinq pools de liquidités en dehors de l'écosystème actuel du projet. Ces pools ne sont pas pris en charge par l'interface utilisateur ou le SDK de Raydium et sont inaccessibles aux utilisateurs ordinaires, mais ils ont tout de même été exploités par le pirate.


Cette attaque a ciblé les contrats et infrastructures sous-jacentes anciens et négligés par l'industrie, révélant une faille majeure dans la gestion du cycle de vie complet des contrats intelligents. Ce type de problème ne se limite pas à cet échange décentralisé de l'écosystème Solana.


Une catégorie de risque négligée


Selon les statistiques issues des rapports publics d'incidents de sécurité, depuis mars 2025, il y a eu au moins 8 cas avérés d'attaques exploitant des contrats abandonnés, obsolètes ou anciens, pour un montant total de pertes d'environ 10,8 millions de dollars.


Si l'on inclut les incidents de sécurité déclenchés par d'anciens pools de liquidités et des produits d'accompagnement obsolètes, le nombre total d'événements atteint 10 (y compris le présent piratage de Raydium), pour une perte totale d'environ 22,5 millions de dollars.


Actuellement, la plupart des plateformes de suivi des incidents de sécurité du secteur classent les types d'attaque en fonction de leur cause technique. Les catégories courantes incluent : les vulnérabilités du code des contrats intelligents, les défaillances de contrôle des autorisations, la manipulation des oracles, la fuite de clés privées, les défauts des ponts inter-chaînes, etc.


Les contrats zombies (c'est-à-dire les anciens contrats que le projet a annoncé comme désactivés mais qui restent appelables sur la blockchain) relèvent d'une dimension de risque complètement différente. Ils sont le résultat d'un problème de gestion du cycle de vie du contrat menant à un incident de sécurité, mais ils sont toujours noyés dans les statistiques des vulnérabilités classiques, sans être classés séparément.



La raison de l'abandon des pools AMM V3 de Raydium est l'arrêt définitif du projet Serum dont ils dépendaient, rendant cet ancien ensemble de contrats totalement inopérant, les actifs de liquidité correspondants restant inactifs sur la chaîne.


Les nouveaux contrats actuellement utilisés par Raydium vérifient doublement deux informations clés : premièrement, un mécanisme de vérification des totaux pour contrôler la proportion des actifs, et deuxièmement, la vérification de l'adresse de frappe des jetons de liquidité ainsi que de diverses informations de comptes associés.


Mais cet ancien contrat V3 omet complètement ces deux étapes de vérification. Le pirate a exploité cette vulnérabilité pour forger de nouveaux jetons de liquidité et se faire passer pour des titres légitimes, contournant ainsi toutes les règles de contrôle des risques.


Lors de cet incident, environ 150 177 RAY, 5 603 SOL et 893 700 USDC ont été volés. Ces actifs étaient stockés depuis longtemps dans les anciens pools de la plateforme. Bien que séparés de l'activité principale, leurs autorisations d'appel sur la chaîne n'avaient jamais été fermées.


Huit cas révèlent des problèmes communs


Depuis 2025, plusieurs projets DeFi connus sont tombés dans le piège des anciens contrats. Tous les événements présentent les mêmes caractéristiques : les équipes des projets déclarent que la version actuelle du produit et les utilisateurs actifs ne sont pas affectés, mais comme les anciens contrats n'ont pas été complètement désactivés, c'est finalement le trésor du projet qui supporte l'intégralité des pertes.



Pourquoi le risque des anciens contrats est-il négligé ?


Actuellement, la grande majorité des systèmes de classification des incidents de sécurité dans le secteur se concentrent sur les moyens d'attaque, les objets de manipulation, les points de défaillance du code, adoptant une perspective d'analyse « partant de la vulnérabilité technique ». Cela conduit également à masquer les incidents de type « contrat zombie ». Le cœur de ce type de problème n'a jamais été une erreur d'écriture du code, mais le fait que le projet aurait dû complètement désactiver l'ancien contrat mais ne l'a pas fait.


Un document de recherche du secteur datant de 2025, analysant 50 incidents de sécurité cryptographiques majeurs dans le monde entre 2022 et 2025, pour des pertes cumulées dépassant 1 milliard de dollars, a souligné que les attaques à fort impact sur la chaîne résultent souvent d'une superposition de risques en chaîne, impliquant simultanément plusieurs niveaux : opérations humaines, maintenance quotidienne, modèles économiques, cycle de vie des contrats, gouvernance communautaire, etc.


Le document propose un cadre d'analyse des causes profondes à quatre niveaux, classant clairement les vulnérabilités de gestion du cycle de vie des contrats et les vulnérabilités de gouvernance communautaire comme des catégories de risque indépendantes des vulnérabilités d'écriture de code. Le problème des contrats zombies est précisément une vulnérabilité typique de gestion du cycle de vie. Mais dans les systèmes statistiques de sécurité existants, ce type d'incident est généralement classé sous « vulnérabilité de code », et les données de pertes correspondantes sont masquées sous d'autres classifications, n'attirant pas suffisamment l'attention du secteur.


Méfiez-vous du « cimetière de contrats » : les anciennes infrastructures sont devenues une nouvelle cible d'attaque


Si les projets DeFi continuent de considérer la « désactivation des contrats » comme une tâche optionnelle, se contentant d'indiquer « ce contrat est désactivé » dans la documentation produit, sans retirer les actifs inactifs, fermer les fonctions d'appel, ni surveiller continuellement leur état, alors les pirates continueront de cibler ce « cimetière de contrats ».


Les historiques de déploiement de chaque grand projet DeFi sont désormais des cibles d'attaque consultables et exploitables par les pirates. Les 22,5 millions de dollars de pertes actuellement recensés ne représentent que la valeur des cas rendus publics. Le risque réel est bien plus élevé.


Les anciens pools de liquidités contenant des actifs mais éloignés du flux d'utilisation principal des utilisateurs, les interfaces d'autorisation historiques, les modules de coopération et d'intégration précoces, bénéficient d'une surveillance opérationnelle bien inférieure à celle des systèmes métier actuels, ce qui en fait précisément des cibles de choix pour les pirates.


Pour changer la situation, il faut d'abord classer les « contrats zombies » comme une catégorie de risque indépendante et les comptabiliser séparément dans les incidents. Ensuite, il faut intégrer le processus de désactivation des contrats dans les procédures de sécurité standardisées, au même niveau que l'audit de code. Une maintenance opérationnelle sur l'ensemble du cycle de vie est nécessaire pour réduire efficacement la surface d'attaque.


Les méthodes de traitement actuelles dans le secteur sont très similaires. Raydium a utilisé son trésor de projet pour compenser la perte de 1,34 million de dollars. Transit Finance et Huma Finance ont également assumé les pertes des utilisateurs via les fonds du projet.


Cela signifie également que la désactivation des contrats n'est plus seulement un travail de documentation, mais un maillon indispensable du contrôle de la sécurité.


Sept normes de contrôle de sécurité pour la désactivation des contrats


Pour la désactivation des anciens contrats, le secteur peut établir un processus de contrôle standardisé, avec les exigences et rôles spécifiques suivants :



Se contenter d'indiquer « contrat désactivé » dans la documentation, c'est simplement transférer le risque de sécurité au trésor du projet, tandis que le risque d'attaque persiste. Annoncer la désactivation uniquement au niveau produit sans la mettre en œuvre techniquement signifie que l'ancien contrat restera toujours appelable : l'équipe du projet le néglige, mais les pirates le surveillent constamment.


La valeur des projets DeFi ne réside pas seulement dans le montant actuel d'actifs verrouillés (TVL), mais aussi dans le code historique et l'architecture sous-jacente accumulés au fil du temps. Et ces morceaux d'histoire oubliés sont désormais devenus de nouvelles brèches de sécurité.

Questions liées

QQuel est l'événement principal décrit dans l'article et quelle en a été la conséquence financière ?

AL'article décrit l'exploitation d'une faille dans les pools de marché automatique V3 obsolètes de Raydium, ce qui a entraîné un vol d'actifs d'environ 1,34 million de dollars.

QQuel problème plus large l'incident de Raydium a-t-il mis en lumière dans l'écosystème DeFi ?

AIl a exposé le problème général des anciens contrats intelligents qui, bien que mis hors service par les projets, restent actifs sur la blockchain et deviennent des cibles d'attaque négligées, car ils ne sont plus surveillés.

QSelon l'article, combien d'incidents similaires impliquant d'anciens contrats ont été signalés depuis mars 2025 et quel est le montant total des pertes ?

ADepuis mars 2025, au moins 8 incidents distincts impliquant des contrats obsolètes ont été signalés, avec des pertes cumulées d'environ 10,8 millions de dollars. Si l'on inclut les pools de liquidités anciens, le nombre d'incidents s'élève à 10, pour un total d'environ 22,5 millions de dollars.

QPourquoi les risques liés aux "contrats zombies" sont-ils souvent négligés dans les classifications de sécurité existantes ?

ALes classifications de sécurité existantes se concentrent principalement sur les vulnérabilités techniques du code. Les incidents liés aux "contrats zombies" relèvent d'un défaut de gestion du cycle de vie du contrat (non-désactivation technique) et sont donc généralement englobés dans la catégorie générale des "vulnérabilités du code", ce qui masque leur nature spécifique.

QQuelle est l'une des principales recommandations de l'article pour remédier au problème des contrats obsolètes ?

AL'article recommande de traiter la désactivation des contrats comme une étape essentielle de sécurité, avec un processus standardisé comprenant le transfert des actifs, la révocation des autorisations, la désactivation des fonctions clés et une surveillance continue, au même titre que les audits de code.

Lectures associées

Claude oblige à « montrer patte blanche », à partir de juillet, plus de service sans carte d'identité ?

Anthropic, la société derrière l'IA Claude, a envoyé un e-mail à ses utilisateurs annonçant une mise à jour majeure de sa politique de confidentialité, effective à partir du 8 juillet. Le changement le plus marquant est l'introduction possible d'une vérification d'identité et d'âge pour les comptes grand public (Free, Pro, Max). Cette vérification, justifiée par des raisons de sécurité et de fiabilité, serait effectuée via le service tiers Persona. Le processus pourrait nécessiter de télécharger une pièce d'identité officielle avec photo (passeport, permis de conduire) et de prendre une photo de soi en temps réel pour comparaison. Anthropic précise que ces données de vérification ne seraient pas utilisées pour l'entraînement des modèles et ne seraient pas stockées sur ses serveurs. Cette mesure s'inscrirait dans un contexte où Claude gagne en capacités d'« agent », pouvant exécuter des tâches à plusieurs étapes et interagir avec des applications tierces, élargissant ainsi la circulation des données utilisateurs. L'article établit un parallèle avec des événements récents comme la suspension du compte "Fable 5", y voyant le signe d'un resserrement général des contrôles dans l'industrie de l'IA. L'ère des agents IA puissants nécessiterait, selon l'auteur, des mécanismes de traçabilité et de responsabilité plus stricts. Seuls les comptes personnels sont concernés par cette évolution ; les clients professionnels (Team, Enterprise) ne seraient pas affectés. Les conditions exactes déclenchant la demande de vérification restent à préciser par Anthropic après la date du 8 juillet.

链捕手Il y a 6 mins

Claude oblige à « montrer patte blanche », à partir de juillet, plus de service sans carte d'identité ?

链捕手Il y a 6 mins

La blockchain a finalement commencé à naviguer vers le courant principal après 18 ans

L'investisseur en cryptomonnaies Variant a levé un fonds de 222 millions de dollars, élargissant son thème de la « propriété numérique » à « l'autonomie ». Cela reflète un changement stratégique majeur : la cryptographie n'est plus considérée comme un secteur d'investissement isolé, mais comme une infrastructure technologique sous-jacente qui s'intègre aux courants dominants comme l'IA, la finance et les réseaux sociaux. Face à l'atténuation des effets de richesse du marché crypto et à la montée en puissance de l'IA, les VC crypto (comme Paradigm, Haun Ventures) élargissent leurs portefeuilles à l'IA et à la robotique. La logique évolue : au lieu de concurrencer l'IA, la blockchain pourrait devenir son infrastructure financière sous-jacente. Les agents IA et les robots, en tant que nouveaux acteurs économiques, auront besoin de portefeuilles auto-détenus, de réseaux de paiement globaux et de mécanismes de vérification – autant de points forts de la cryptographie. Un exemple est l'investissement de Tether dans NEURA Robotics, visant à intégrer des portefeuilles crypto dans les robots, permettant des micro-paiements et des transactions automatisées. Cela pourrait créer une demande utilitaire et non spéculative pour les stablecoins et les contrats intelligents. Cependant, la fusion IA-Crypto n'est pas une formule magique. Les projets doivent démontrer que la blockchain apporte une valeur essentielle, comme une gouvernance transparente pour les organisations autonomes ou des règlements ouverts pour les marchés de données. L'avenir de la cryptographie réside peut-être dans son adoption en tant qu'infrastructure « invisible » par les machines et les systèmes autonomes, plutôt que comme application frontale pour les utilisateurs finaux. Le secteur a besoin de nouveaux récits, mais surtout de nouveaux cas d'utilisation réels.

marsbitIl y a 14 mins

La blockchain a finalement commencé à naviguer vers le courant principal après 18 ans

marsbitIl y a 14 mins

La blockchain a mis 18 ans avant de prendre enfin la direction de la voie principale

Le capital-risque cryptographique évolue face à l'essor de l'IA. Des fonds comme Variant, Paradigm et Haun Ventures élargissent leurs thèmes d'investissement au-delà de la crypto pure, vers l'« autonomie », l'IA et la robotique. Ce changement reflète une prise de conscience : la crypto n'est plus un secteur isolé, mais une couche infrastructurelle potentielle pour l'économie numérique émergente, en particulier pour les agents IA et les robots. Le raisonnement est le suivant : les systèmes autonomes (agents IA, robots) auront besoin d'exécuter des transactions économiques fréquentes, à petite échelle et globales. Les capacités uniques de la crypto – paiements programmables globaux, portefeuilles auto-détenus, identités et actifs vérifiables – peuvent servir de couche de règlement et d'infrastructure financière pour cette nouvelle économie machine-à-machine. L'investissement de Tether dans NEURA Robotics, qui prévoit d'intégrer ses outils de portefeuille, en est un exemple concret. Cependant, la fusion IA-Crypto n'est pas une formule magique. De nombreux projets antérieurs manquaient de substance. Pour réussir, les projets doivent démontrer que la crypto est essentielle à leur fonctionnement (par ex., pour la propriété des données, les paiements automatisés, la gouvernance) et non un simple outil de marketing. L'avenir de la crypto pourrait résider dans son adoption en tant qu'« infrastructure invisible » par les applications grand public et les systèmes autonomes, générant ainsi une demande utilitaire au-delà de la spéculation.

链捕手Il y a 19 mins

La blockchain a mis 18 ans avant de prendre enfin la direction de la voie principale

链捕手Il y a 19 mins

Y Combinator 联创:如何赚到十亿美元?

**Résumé : Comment devenir milliardaire en créant une startup** Paul Graham, cofondateur du Y Combinator, explique que créer une entreprise en forte croissance est aujourd'hui le moyen le plus courant de devenir milliardaire, un objectif atteignable sans méthodes répréhensibles. La clé réside dans la **croissance exponentielle**, déterminée par deux variables : le **taux de croissance** et **la durée** de ce taux. Une croissance mensuelle de 15% sur 5 ans peut multiplier les revenus par plus de 4000, suffisant pour créer une entreprise valorisée en milliards si le marché est vaste. Pour obtenir une telle croissance, il faut créer un **produit que les utilisateurs adorent au point de le recommander spontanément**. Pour les jeunes entrepreneurs, la stratégie la plus simple est de **créer un produit qu'ils utiliseraient eux-mêmes**, car leurs besoins actuels préfigurent souvent les tendances futures. L'inspiration vient en travaillant sur des projets passionnants avec des amis, sans chercher forcément une idée de startup - les meilleures idées semblent souvent insignifiantes ou étranges au début. En résumé, la fortune découle d'une profonde compréhension des utilisateurs et de la création d'un produit qui améliore leur vie, générant une croissance exponentielle dans un grand marché.

Foresight NewsIl y a 24 mins

Y Combinator 联创:如何赚到十亿美元?

Foresight NewsIl y a 24 mins

La norme de tension 800V promue par NVIDIA, quels fabricants d'infrastructures en bénéficient ?

La norme 800 VDC, promue par NVIDIA, devient cruciale pour les futures usines d'IA et les serveurs haute densité comme les plateformes Rubin et Kyber. Alors que la puissance des baies dépasse les 100-200 kW, les architectures électriques basse tension traditionnelles atteignent leurs limites, entraînant des pertes d'énergie, une surchauffe et une occupation d'espace excessive. La solution 800 VDC permet de réduire le courant, l'utilisation de cuivre (jusqu'à 45%) et d'améliorer l'efficacité, favorisant ainsi une densité de calcul accrue. NVIDIA redéfinit l'écosystème via son architecture de référence, impliquant des partenaires clés dans l'alimentation électrique, les semiconducteurs de puissance, la connectique et le refroidissement. Les entreprises les plus directement impactées sont : 1. Les fournisseurs d'infrastructures électriques (Vertiv, Schneider Electric, Delta Electronics). 2. Les fabricants de composants de puissance (SiC/GaN) comme Infineon et STMicroelectronics. 3. Les spécialistes de la connectique, des barres omnibus et des PCB pour haute puissance. 4. Les assembleurs (ODM) et les spécialistes du refroidissement liquide, dont la capacité à tester et livrer des baies entières stables devient un avantage compétitif majeur. Le déploiement à grande échelle est attendu pour 2027 avec les systèmes Kyber. L'adoption réelle dépendra des commandes clients, de la fiabilité des tests en charge et de la volonté des centres de données à adapter leurs infrastructures. La capacité à livrer des serveurs haute puissance de manière fiable devient un facteur clé de valorisation, au-delà de la seule fourniture de GPU.

marsbitIl y a 45 mins

La norme de tension 800V promue par NVIDIA, quels fabricants d'infrastructures en bénéficient ?

marsbitIl y a 45 mins

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow