L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

Foresight NewsPublié le 2026-06-13Dernière mise à jour le 2026-06-13

Résumé

L'incident de piratage de Raydium, où environ 1,34 million de dollars d'actifs ont été volés via d'anciens pools de marché automatique (AMM) V3 abandonnés, met en lumière un risque négligé dans le DeFi : les contrats intelligents obsolètes mais toujours actifs sur la blockchain. Ces "contrats zombies", officiellement mis hors service mais techniquement exploitables, constituent une nouvelle catégorie de vulnérabilités liée à la gestion du cycle de vie des contrats. Depuis mars 2025, au moins 8 incidents similaires ont été recensés, causant des pertes d'environ 22,5 millions de dollars. Le problème vient du fait que les projets se concentrent sur les versions actuelles, négligeant de sécuriser les anciens contrats qui conservent des actifs et restent accessibles. Le contrat V3 de Raydium, par exemple, avait été abandonné suite à l'arrêt de Serum mais n'avait pas été correctement désactivé, permettant aux pirates de contourner ses contrôles obsolètes. Les plateformes de sécurité classent généralement les incidents par type de faille technique (code, oracle, clés...), masquant ainsi cette faille de gestion. Une étude académique propose pourtant de distinguer clairement les vulnérabilités de gestion du cycle de vie des contrats. Pour remédier à ce problème, il est crucial de créer une catégorie dédiée aux "contrats zombies" et d'établir un processus standardisé de désactivation sécurisée. Ce processus devrait inclure le retrait des actifs, la révocation des autorisations, la ...


Rédigé par : Gino Matos

Compilé par : Luffy, Foresight News


TL;DR :


  • Un pirate a volé environ 1,34 million de dollars d'actifs en exploitant les pools de liquidités du marché automatique (AMM) V3 de Raydium, pourtant désactivés depuis longtemps.
  • Cet incident met en lumière un problème répandu : les anciens contrats abandonnés par les projets DeFi restent opérationnels sur la blockchain. Ces infrastructures sous-jacentes oubliées sont désormais des cibles d'attaque faciles à négliger.
  • Des rapports publics indiquent qu'au moins 8 incidents de piratage similaires ciblant des contrats anciens se sont produits dans le secteur depuis mars 2025, ce qui signifie qu'une grande quantité de code ancien non géré reste accessible de l'extérieur.


Récemment, une vulnérabilité dans l'AMM V3 de Raydium a entraîné une perte de 1,34 million de dollars, liée à cinq pools de liquidités en dehors de l'écosystème actuel du projet. Ces pools ne sont pas pris en charge par l'interface utilisateur ou le SDK de Raydium et sont inaccessibles aux utilisateurs ordinaires, mais ils ont tout de même été exploités par le pirate.


Cette attaque a ciblé les contrats et infrastructures sous-jacentes anciens et négligés par l'industrie, révélant une faille majeure dans la gestion du cycle de vie complet des contrats intelligents. Ce type de problème ne se limite pas à cet échange décentralisé de l'écosystème Solana.


Une catégorie de risque négligée


Selon les statistiques issues des rapports publics d'incidents de sécurité, depuis mars 2025, il y a eu au moins 8 cas avérés d'attaques exploitant des contrats abandonnés, obsolètes ou anciens, pour un montant total de pertes d'environ 10,8 millions de dollars.


Si l'on inclut les incidents de sécurité déclenchés par d'anciens pools de liquidités et des produits d'accompagnement obsolètes, le nombre total d'événements atteint 10 (y compris le présent piratage de Raydium), pour une perte totale d'environ 22,5 millions de dollars.


Actuellement, la plupart des plateformes de suivi des incidents de sécurité du secteur classent les types d'attaque en fonction de leur cause technique. Les catégories courantes incluent : les vulnérabilités du code des contrats intelligents, les défaillances de contrôle des autorisations, la manipulation des oracles, la fuite de clés privées, les défauts des ponts inter-chaînes, etc.


Les contrats zombies (c'est-à-dire les anciens contrats que le projet a annoncé comme désactivés mais qui restent appelables sur la blockchain) relèvent d'une dimension de risque complètement différente. Ils sont le résultat d'un problème de gestion du cycle de vie du contrat menant à un incident de sécurité, mais ils sont toujours noyés dans les statistiques des vulnérabilités classiques, sans être classés séparément.



La raison de l'abandon des pools AMM V3 de Raydium est l'arrêt définitif du projet Serum dont ils dépendaient, rendant cet ancien ensemble de contrats totalement inopérant, les actifs de liquidité correspondants restant inactifs sur la chaîne.


Les nouveaux contrats actuellement utilisés par Raydium vérifient doublement deux informations clés : premièrement, un mécanisme de vérification des totaux pour contrôler la proportion des actifs, et deuxièmement, la vérification de l'adresse de frappe des jetons de liquidité ainsi que de diverses informations de comptes associés.


Mais cet ancien contrat V3 omet complètement ces deux étapes de vérification. Le pirate a exploité cette vulnérabilité pour forger de nouveaux jetons de liquidité et se faire passer pour des titres légitimes, contournant ainsi toutes les règles de contrôle des risques.


Lors de cet incident, environ 150 177 RAY, 5 603 SOL et 893 700 USDC ont été volés. Ces actifs étaient stockés depuis longtemps dans les anciens pools de la plateforme. Bien que séparés de l'activité principale, leurs autorisations d'appel sur la chaîne n'avaient jamais été fermées.


Huit cas révèlent des problèmes communs


Depuis 2025, plusieurs projets DeFi connus sont tombés dans le piège des anciens contrats. Tous les événements présentent les mêmes caractéristiques : les équipes des projets déclarent que la version actuelle du produit et les utilisateurs actifs ne sont pas affectés, mais comme les anciens contrats n'ont pas été complètement désactivés, c'est finalement le trésor du projet qui supporte l'intégralité des pertes.



Pourquoi le risque des anciens contrats est-il négligé ?


Actuellement, la grande majorité des systèmes de classification des incidents de sécurité dans le secteur se concentrent sur les moyens d'attaque, les objets de manipulation, les points de défaillance du code, adoptant une perspective d'analyse « partant de la vulnérabilité technique ». Cela conduit également à masquer les incidents de type « contrat zombie ». Le cœur de ce type de problème n'a jamais été une erreur d'écriture du code, mais le fait que le projet aurait dû complètement désactiver l'ancien contrat mais ne l'a pas fait.


Un document de recherche du secteur datant de 2025, analysant 50 incidents de sécurité cryptographiques majeurs dans le monde entre 2022 et 2025, pour des pertes cumulées dépassant 1 milliard de dollars, a souligné que les attaques à fort impact sur la chaîne résultent souvent d'une superposition de risques en chaîne, impliquant simultanément plusieurs niveaux : opérations humaines, maintenance quotidienne, modèles économiques, cycle de vie des contrats, gouvernance communautaire, etc.


Le document propose un cadre d'analyse des causes profondes à quatre niveaux, classant clairement les vulnérabilités de gestion du cycle de vie des contrats et les vulnérabilités de gouvernance communautaire comme des catégories de risque indépendantes des vulnérabilités d'écriture de code. Le problème des contrats zombies est précisément une vulnérabilité typique de gestion du cycle de vie. Mais dans les systèmes statistiques de sécurité existants, ce type d'incident est généralement classé sous « vulnérabilité de code », et les données de pertes correspondantes sont masquées sous d'autres classifications, n'attirant pas suffisamment l'attention du secteur.


Méfiez-vous du « cimetière de contrats » : les anciennes infrastructures sont devenues une nouvelle cible d'attaque


Si les projets DeFi continuent de considérer la « désactivation des contrats » comme une tâche optionnelle, se contentant d'indiquer « ce contrat est désactivé » dans la documentation produit, sans retirer les actifs inactifs, fermer les fonctions d'appel, ni surveiller continuellement leur état, alors les pirates continueront de cibler ce « cimetière de contrats ».


Les historiques de déploiement de chaque grand projet DeFi sont désormais des cibles d'attaque consultables et exploitables par les pirates. Les 22,5 millions de dollars de pertes actuellement recensés ne représentent que la valeur des cas rendus publics. Le risque réel est bien plus élevé.


Les anciens pools de liquidités contenant des actifs mais éloignés du flux d'utilisation principal des utilisateurs, les interfaces d'autorisation historiques, les modules de coopération et d'intégration précoces, bénéficient d'une surveillance opérationnelle bien inférieure à celle des systèmes métier actuels, ce qui en fait précisément des cibles de choix pour les pirates.


Pour changer la situation, il faut d'abord classer les « contrats zombies » comme une catégorie de risque indépendante et les comptabiliser séparément dans les incidents. Ensuite, il faut intégrer le processus de désactivation des contrats dans les procédures de sécurité standardisées, au même niveau que l'audit de code. Une maintenance opérationnelle sur l'ensemble du cycle de vie est nécessaire pour réduire efficacement la surface d'attaque.


Les méthodes de traitement actuelles dans le secteur sont très similaires. Raydium a utilisé son trésor de projet pour compenser la perte de 1,34 million de dollars. Transit Finance et Huma Finance ont également assumé les pertes des utilisateurs via les fonds du projet.


Cela signifie également que la désactivation des contrats n'est plus seulement un travail de documentation, mais un maillon indispensable du contrôle de la sécurité.


Sept normes de contrôle de sécurité pour la désactivation des contrats


Pour la désactivation des anciens contrats, le secteur peut établir un processus de contrôle standardisé, avec les exigences et rôles spécifiques suivants :



Se contenter d'indiquer « contrat désactivé » dans la documentation, c'est simplement transférer le risque de sécurité au trésor du projet, tandis que le risque d'attaque persiste. Annoncer la désactivation uniquement au niveau produit sans la mettre en œuvre techniquement signifie que l'ancien contrat restera toujours appelable : l'équipe du projet le néglige, mais les pirates le surveillent constamment.


La valeur des projets DeFi ne réside pas seulement dans le montant actuel d'actifs verrouillés (TVL), mais aussi dans le code historique et l'architecture sous-jacente accumulés au fil du temps. Et ces morceaux d'histoire oubliés sont désormais devenus de nouvelles brèches de sécurité.

Questions liées

QQuel est l'événement principal décrit dans l'article et quelle en a été la conséquence financière ?

AL'article décrit l'exploitation d'une faille dans les pools de marché automatique V3 obsolètes de Raydium, ce qui a entraîné un vol d'actifs d'environ 1,34 million de dollars.

QQuel problème plus large l'incident de Raydium a-t-il mis en lumière dans l'écosystème DeFi ?

AIl a exposé le problème général des anciens contrats intelligents qui, bien que mis hors service par les projets, restent actifs sur la blockchain et deviennent des cibles d'attaque négligées, car ils ne sont plus surveillés.

QSelon l'article, combien d'incidents similaires impliquant d'anciens contrats ont été signalés depuis mars 2025 et quel est le montant total des pertes ?

ADepuis mars 2025, au moins 8 incidents distincts impliquant des contrats obsolètes ont été signalés, avec des pertes cumulées d'environ 10,8 millions de dollars. Si l'on inclut les pools de liquidités anciens, le nombre d'incidents s'élève à 10, pour un total d'environ 22,5 millions de dollars.

QPourquoi les risques liés aux "contrats zombies" sont-ils souvent négligés dans les classifications de sécurité existantes ?

ALes classifications de sécurité existantes se concentrent principalement sur les vulnérabilités techniques du code. Les incidents liés aux "contrats zombies" relèvent d'un défaut de gestion du cycle de vie du contrat (non-désactivation technique) et sont donc généralement englobés dans la catégorie générale des "vulnérabilités du code", ce qui masque leur nature spécifique.

QQuelle est l'une des principales recommandations de l'article pour remédier au problème des contrats obsolètes ?

AL'article recommande de traiter la désactivation des contrats comme une étape essentielle de sécurité, avec un processus standardisé comprenant le transfert des actifs, la révocation des autorisations, la désactivation des fonctions clés et une surveillance continue, au même titre que les audits de code.

Lectures associées

Solayer lance Margin Trade pour consolider le trading perpétuel multi-actifs sur le mainnet

Solayer, une blockchain Layer 1 compatible avec la machine virtuelle Solana (SVM), a lancé sur son mainnet « Margin Trade », une plateforme unifiée de trading perpétuel multi-actifs. Conçue avec l'apport de traders expérimentés, cette plateforme vise à regrouper sur une seule interface chaine les marchés cryptographiques, les matières premières (or, argent, pétrole) et les actions (via un indice synthétique MT500). Margin Trade permet le trading en cross-marge, optimisant l'efficacité du capital en permettant de garantir toutes les positions depuis un pool d'actifs partagé. Elle offre transparence et contrôle non-custodial des fonds, avec tous les règlements effectués on-chain. Lors de son lancement, la plateforme a introduit le trading perpétuel pour le jeton $PRL de Pearl Research. À l'avenir, elle prévoit d'élargir sa liste d'actifs et d'ajouter une fonctionnalité de marge isolée. Bâtie sur Solayer, un protocole natif de Solana offrant un débit élevé et une faible latence, Margin Trade permet une exécution quasi instantanée des ordres. Son déploiement en mainnet représente une étape clé pour Solayer dans son ambition de devenir un acteur majeur de l'infrastructure financière décentralisée au sein de l'écosystème Solana.

TheNewsCryptoIl y a 1 h

Solayer lance Margin Trade pour consolider le trading perpétuel multi-actifs sur le mainnet

TheNewsCryptoIl y a 1 h

Commentaire Cinglant | Michael Saylor tient des propos de « mauvais garçon » ; après le krach de ses contrats à effet de levier, une sexagénaire « arnaque un jeune homme »

L'article "Spicy Comments" de Foresight News présente trois anecdotes satiriques sur le monde des cryptomonnaies cette semaine. Premièrement, Michael Saylor, fondateur de MicroStrategy, a clarifié ses propos antérieurs sur le Bitcoin. Il a expliqué que son célèbre conseil "ne vendez jamais" s'adressait aux investisseurs individuels, et non à sa société, qui peut vendre ses BTC si nécessaire. Cette distinction a suscité de vives réactions et des accusations de double discours de la part de la communauté en ligne. Deuxièmement, une affaire judiciaire insolite a été rapportée à Pékin. Une retraitée de 60 ans a escroqué un jeune homme de plus de 200 000 yuans en se faisant passer pour une jeune femme lors d'une relation en ligne. L'argent, obtenu sous de faux prétextes, a été entièrement perdu après qu'elle l'ait investi avec un effet de levier de 10x sur des cryptomonnaies, subissant un "liquidation". Enfin, un trader anonyme a partagé son expérience amère sur Reddit. Après avoir atteint un patrimoine net record de 45 millions de dollars grâce aux meme coins, sa fortune se serait effondrée à environ 17 000 dollars. Son histoire, marquée par l'absence de prise de profits et une concentration excessive sur des actifs très spéculatifs, sert d'avertissement et a provoqué de nombreux commentaires à la fois compatissants et critiques. L'article conclut sur le ton de son titre, dépeignant un écosystème où s'entremêlent rhétorique habile, arnaques et risques extrêmes, le tout saupoudré d'une dose d'humour noir.

Foresight NewsIl y a 4 h

Commentaire Cinglant | Michael Saylor tient des propos de « mauvais garçon » ; après le krach de ses contrats à effet de levier, une sexagénaire « arnaque un jeune homme »

Foresight NewsIl y a 4 h

Tremblez, les humains, l'IA continue d'accélérer sa course effrénée

**Synthèse en français :** L’IA continue d’accélérer sa progression, passant de simples capacités de conversation à des applications pratiques concrètes. Lors de la conférence *BAAI 2026*, les experts ont souligné que la *Scaling Law* reste toujours efficace, malgré les craintes de stagnation. Les modèles de langage et multimodaux continuent de s’améliorer, notamment grâce à des données synthétiques et à l’apprentissage par renforcement, comme le montre l’exemple du modèle *Fable 5* d’Anthropic. L’auto-évolution de l’IA, notamment via l’*AI Coding*, permet désormais aux systèmes de générer et de mettre à jour du code de manière autonome, ouvrant la voie à une automatisation accrue dans le monde numérique. La prochaine frontière est celle des **modèles du monde** (*World Models*), qui visent à connecter l’IA au monde physique. Différentes approches coexistent (centrées sur le langage, les pixels, la 3D ou les représentations visuelles), mais aucun consensus technique n’est encore établi. Des défis majeurs persistent, notamment concernant les types de données nécessaires (vidéo, simulation, données réelles). Le *BAAI* travaille sur un modèle du monde unifié, *Physis-v0.1*, qui cherche à prédire les états physiques futurs avec précision. Parallèlement, les **agents intelligents** progressent rapidement, passant du stade *utilisable* à *fiable*. Des applications concrètes émergent dans la santé, la recherche ou l’assistance aux réunions. Pour optimiser leur performance, l’accent est mis sur le *Harness* – un cadre d’ingénierie qui affine la compréhension des tâches, planifie les actions et intègre des vérifications. En résumé, l’IA avance sur deux fronts : l’exploration des modèles du monde pour interagir avec le physique, et l’amélioration des agents pour des tâches complexes. La route reste longue, mais l’innovation, tant dans les modèles que dans les infrastructures matérielles et logicielles, continue de s’accélérer.

marsbitIl y a 4 h

Tremblez, les humains, l'IA continue d'accélérer sa course effrénée

marsbitIl y a 4 h

L'envers de la fortune de Musk de mille milliards de dollars : 85% ne peuvent pas être vendus

SpaceX, avec son introduction en bourse (IPO) record de 750 milliards de dollars et une valorisation de 1,77 trillion de dollars, propulse la fortune personnelle d'Elon Musk au-delà du seuil de 1 trillion de dollars, faisant de lui le premier « trillionnaire ». Cependant, cette richesse est en grande partie théorique. Musk, qui détient environ 85 % des droits de vote, possède probablement des actions à droit de vote multiples, extrêmement peu liquides et soumises à une période de blocage, limitant fortement sa capacité à les convertir en liquidités. Une conversion annuelle au même rythme que les ventes de Jeff Bezos représenterait moins de 2,5 % de sa fortune totale. L'IPO devrait générer environ 4 400 nouveaux millionnaires parmi les employés de SpaceX, grâce à leurs plans d'actions. Pourtant, leur richesse sur papier sera soumise à une période de blocage standard de 180 jours, à des prix d'exercice et à des obligations fiscales, différant ainsi l'accès aux liquidités réelles. La structure des capitaux révèle une vulnérabilité potentielle : seulement 4,2 % des 131,1 milliards d'actions totales seront librement négociables lors de l'introduction. Une telle concentration rend le cours particulièrement sensible à la faible pression d'achat ou de vente. Le vrai test interviendra à l'issue de la période de blocage, lorsque la grande majorité des actions, y compris celles des employés et des investisseurs précoces, pourront être vendues. Enfin, la valorisation s'appuie sur les revenus de location de puissance de calcul IA (260 milliards de dollars annuels via des contrats avec Anthropic et Google). Cependant, le secteur xAI de SpaceX a enregistré une perte nette de 6,4 milliards de dollars en 2025 et ses dépenses en immobilisations sont estimées à environ 31 milliards de dollars, dépassant ces revenus. Cette dynamique, associée aux éventuelles clauses contractuelles, soulève des questions sur la viabilité financière à long terme de ce pilier de croissance et sur la soutenabilité de la valorisation après le déblocage massif des actions.

链捕手Il y a 4 h

L'envers de la fortune de Musk de mille milliards de dollars : 85% ne peuvent pas être vendus

链捕手Il y a 4 h

Des chercheurs d'Ethereum proposent le schéma de signature SPHINCS- pour des portefeuilles post-quantiques

Des chercheurs Ethereum proposent SPHINCS-, un schéma de signature post-quantique pour les portefeuilles, optimisé pour l'EVM. Cette conception stateless remplace les fonctions de hachage SHAKE256 standard par KECCAK256, natif d'Ethereum, permettant une implémentation en Solidity sans modification du protocole. La variante C13 vérifierait une signature pour environ 127 000 gas, avec une taille de signature de 3 704 octets. Le schéma adapte également le budget de signatures à l'usage réel des portefeuilles blockchain (entre 2^14 et 2^20 signatures par clé), plutôt qu'au standard général 2^64. Cette proposition de recherche, non standard et créditée à nicocsgy avec des remerciements à Vitalik Buterin, explore une voie de vérification post-quantique utilisant les outils EVM existants. Elle reconnaît des compromis, comme des temps de signature potentiellement longs sur certains matériels, mais contribue aux discussions cruciales sur la sécurité future et les chemins de migration des comptes Ethereum face à la menace quantique.

bitcoinistIl y a 6 h

Des chercheurs d'Ethereum proposent le schéma de signature SPHINCS- pour des portefeuilles post-quantiques

bitcoinistIl y a 6 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow