L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

Foresight NewsPublié le 2026-06-13Dernière mise à jour le 2026-06-13

Résumé

L'incident de piratage de Raydium, où environ 1,34 million de dollars d'actifs ont été volés via d'anciens pools de marché automatique (AMM) V3 abandonnés, met en lumière un risque négligé dans le DeFi : les contrats intelligents obsolètes mais toujours actifs sur la blockchain. Ces "contrats zombies", officiellement mis hors service mais techniquement exploitables, constituent une nouvelle catégorie de vulnérabilités liée à la gestion du cycle de vie des contrats. Depuis mars 2025, au moins 8 incidents similaires ont été recensés, causant des pertes d'environ 22,5 millions de dollars. Le problème vient du fait que les projets se concentrent sur les versions actuelles, négligeant de sécuriser les anciens contrats qui conservent des actifs et restent accessibles. Le contrat V3 de Raydium, par exemple, avait été abandonné suite à l'arrêt de Serum mais n'avait pas été correctement désactivé, permettant aux pirates de contourner ses contrôles obsolètes. Les plateformes de sécurité classent généralement les incidents par type de faille technique (code, oracle, clés...), masquant ainsi cette faille de gestion. Une étude académique propose pourtant de distinguer clairement les vulnérabilités de gestion du cycle de vie des contrats. Pour remédier à ce problème, il est crucial de créer une catégorie dédiée aux "contrats zombies" et d'établir un processus standardisé de désactivation sécurisée. Ce processus devrait inclure le retrait des actifs, la révocation des autorisations, la ...


Rédigé par : Gino Matos

Compilé par : Luffy, Foresight News


TL;DR :


  • Un pirate a volé environ 1,34 million de dollars d'actifs en exploitant les pools de liquidités du marché automatique (AMM) V3 de Raydium, pourtant désactivés depuis longtemps.
  • Cet incident met en lumière un problème répandu : les anciens contrats abandonnés par les projets DeFi restent opérationnels sur la blockchain. Ces infrastructures sous-jacentes oubliées sont désormais des cibles d'attaque faciles à négliger.
  • Des rapports publics indiquent qu'au moins 8 incidents de piratage similaires ciblant des contrats anciens se sont produits dans le secteur depuis mars 2025, ce qui signifie qu'une grande quantité de code ancien non géré reste accessible de l'extérieur.


Récemment, une vulnérabilité dans l'AMM V3 de Raydium a entraîné une perte de 1,34 million de dollars, liée à cinq pools de liquidités en dehors de l'écosystème actuel du projet. Ces pools ne sont pas pris en charge par l'interface utilisateur ou le SDK de Raydium et sont inaccessibles aux utilisateurs ordinaires, mais ils ont tout de même été exploités par le pirate.


Cette attaque a ciblé les contrats et infrastructures sous-jacentes anciens et négligés par l'industrie, révélant une faille majeure dans la gestion du cycle de vie complet des contrats intelligents. Ce type de problème ne se limite pas à cet échange décentralisé de l'écosystème Solana.


Une catégorie de risque négligée


Selon les statistiques issues des rapports publics d'incidents de sécurité, depuis mars 2025, il y a eu au moins 8 cas avérés d'attaques exploitant des contrats abandonnés, obsolètes ou anciens, pour un montant total de pertes d'environ 10,8 millions de dollars.


Si l'on inclut les incidents de sécurité déclenchés par d'anciens pools de liquidités et des produits d'accompagnement obsolètes, le nombre total d'événements atteint 10 (y compris le présent piratage de Raydium), pour une perte totale d'environ 22,5 millions de dollars.


Actuellement, la plupart des plateformes de suivi des incidents de sécurité du secteur classent les types d'attaque en fonction de leur cause technique. Les catégories courantes incluent : les vulnérabilités du code des contrats intelligents, les défaillances de contrôle des autorisations, la manipulation des oracles, la fuite de clés privées, les défauts des ponts inter-chaînes, etc.


Les contrats zombies (c'est-à-dire les anciens contrats que le projet a annoncé comme désactivés mais qui restent appelables sur la blockchain) relèvent d'une dimension de risque complètement différente. Ils sont le résultat d'un problème de gestion du cycle de vie du contrat menant à un incident de sécurité, mais ils sont toujours noyés dans les statistiques des vulnérabilités classiques, sans être classés séparément.



La raison de l'abandon des pools AMM V3 de Raydium est l'arrêt définitif du projet Serum dont ils dépendaient, rendant cet ancien ensemble de contrats totalement inopérant, les actifs de liquidité correspondants restant inactifs sur la chaîne.


Les nouveaux contrats actuellement utilisés par Raydium vérifient doublement deux informations clés : premièrement, un mécanisme de vérification des totaux pour contrôler la proportion des actifs, et deuxièmement, la vérification de l'adresse de frappe des jetons de liquidité ainsi que de diverses informations de comptes associés.


Mais cet ancien contrat V3 omet complètement ces deux étapes de vérification. Le pirate a exploité cette vulnérabilité pour forger de nouveaux jetons de liquidité et se faire passer pour des titres légitimes, contournant ainsi toutes les règles de contrôle des risques.


Lors de cet incident, environ 150 177 RAY, 5 603 SOL et 893 700 USDC ont été volés. Ces actifs étaient stockés depuis longtemps dans les anciens pools de la plateforme. Bien que séparés de l'activité principale, leurs autorisations d'appel sur la chaîne n'avaient jamais été fermées.


Huit cas révèlent des problèmes communs


Depuis 2025, plusieurs projets DeFi connus sont tombés dans le piège des anciens contrats. Tous les événements présentent les mêmes caractéristiques : les équipes des projets déclarent que la version actuelle du produit et les utilisateurs actifs ne sont pas affectés, mais comme les anciens contrats n'ont pas été complètement désactivés, c'est finalement le trésor du projet qui supporte l'intégralité des pertes.



Pourquoi le risque des anciens contrats est-il négligé ?


Actuellement, la grande majorité des systèmes de classification des incidents de sécurité dans le secteur se concentrent sur les moyens d'attaque, les objets de manipulation, les points de défaillance du code, adoptant une perspective d'analyse « partant de la vulnérabilité technique ». Cela conduit également à masquer les incidents de type « contrat zombie ». Le cœur de ce type de problème n'a jamais été une erreur d'écriture du code, mais le fait que le projet aurait dû complètement désactiver l'ancien contrat mais ne l'a pas fait.


Un document de recherche du secteur datant de 2025, analysant 50 incidents de sécurité cryptographiques majeurs dans le monde entre 2022 et 2025, pour des pertes cumulées dépassant 1 milliard de dollars, a souligné que les attaques à fort impact sur la chaîne résultent souvent d'une superposition de risques en chaîne, impliquant simultanément plusieurs niveaux : opérations humaines, maintenance quotidienne, modèles économiques, cycle de vie des contrats, gouvernance communautaire, etc.


Le document propose un cadre d'analyse des causes profondes à quatre niveaux, classant clairement les vulnérabilités de gestion du cycle de vie des contrats et les vulnérabilités de gouvernance communautaire comme des catégories de risque indépendantes des vulnérabilités d'écriture de code. Le problème des contrats zombies est précisément une vulnérabilité typique de gestion du cycle de vie. Mais dans les systèmes statistiques de sécurité existants, ce type d'incident est généralement classé sous « vulnérabilité de code », et les données de pertes correspondantes sont masquées sous d'autres classifications, n'attirant pas suffisamment l'attention du secteur.


Méfiez-vous du « cimetière de contrats » : les anciennes infrastructures sont devenues une nouvelle cible d'attaque


Si les projets DeFi continuent de considérer la « désactivation des contrats » comme une tâche optionnelle, se contentant d'indiquer « ce contrat est désactivé » dans la documentation produit, sans retirer les actifs inactifs, fermer les fonctions d'appel, ni surveiller continuellement leur état, alors les pirates continueront de cibler ce « cimetière de contrats ».


Les historiques de déploiement de chaque grand projet DeFi sont désormais des cibles d'attaque consultables et exploitables par les pirates. Les 22,5 millions de dollars de pertes actuellement recensés ne représentent que la valeur des cas rendus publics. Le risque réel est bien plus élevé.


Les anciens pools de liquidités contenant des actifs mais éloignés du flux d'utilisation principal des utilisateurs, les interfaces d'autorisation historiques, les modules de coopération et d'intégration précoces, bénéficient d'une surveillance opérationnelle bien inférieure à celle des systèmes métier actuels, ce qui en fait précisément des cibles de choix pour les pirates.


Pour changer la situation, il faut d'abord classer les « contrats zombies » comme une catégorie de risque indépendante et les comptabiliser séparément dans les incidents. Ensuite, il faut intégrer le processus de désactivation des contrats dans les procédures de sécurité standardisées, au même niveau que l'audit de code. Une maintenance opérationnelle sur l'ensemble du cycle de vie est nécessaire pour réduire efficacement la surface d'attaque.


Les méthodes de traitement actuelles dans le secteur sont très similaires. Raydium a utilisé son trésor de projet pour compenser la perte de 1,34 million de dollars. Transit Finance et Huma Finance ont également assumé les pertes des utilisateurs via les fonds du projet.


Cela signifie également que la désactivation des contrats n'est plus seulement un travail de documentation, mais un maillon indispensable du contrôle de la sécurité.


Sept normes de contrôle de sécurité pour la désactivation des contrats


Pour la désactivation des anciens contrats, le secteur peut établir un processus de contrôle standardisé, avec les exigences et rôles spécifiques suivants :



Se contenter d'indiquer « contrat désactivé » dans la documentation, c'est simplement transférer le risque de sécurité au trésor du projet, tandis que le risque d'attaque persiste. Annoncer la désactivation uniquement au niveau produit sans la mettre en œuvre techniquement signifie que l'ancien contrat restera toujours appelable : l'équipe du projet le néglige, mais les pirates le surveillent constamment.


La valeur des projets DeFi ne réside pas seulement dans le montant actuel d'actifs verrouillés (TVL), mais aussi dans le code historique et l'architecture sous-jacente accumulés au fil du temps. Et ces morceaux d'histoire oubliés sont désormais devenus de nouvelles brèches de sécurité.

Questions liées

QQuel est l'événement principal décrit dans l'article et quelle en a été la conséquence financière ?

AL'article décrit l'exploitation d'une faille dans les pools de marché automatique V3 obsolètes de Raydium, ce qui a entraîné un vol d'actifs d'environ 1,34 million de dollars.

QQuel problème plus large l'incident de Raydium a-t-il mis en lumière dans l'écosystème DeFi ?

AIl a exposé le problème général des anciens contrats intelligents qui, bien que mis hors service par les projets, restent actifs sur la blockchain et deviennent des cibles d'attaque négligées, car ils ne sont plus surveillés.

QSelon l'article, combien d'incidents similaires impliquant d'anciens contrats ont été signalés depuis mars 2025 et quel est le montant total des pertes ?

ADepuis mars 2025, au moins 8 incidents distincts impliquant des contrats obsolètes ont été signalés, avec des pertes cumulées d'environ 10,8 millions de dollars. Si l'on inclut les pools de liquidités anciens, le nombre d'incidents s'élève à 10, pour un total d'environ 22,5 millions de dollars.

QPourquoi les risques liés aux "contrats zombies" sont-ils souvent négligés dans les classifications de sécurité existantes ?

ALes classifications de sécurité existantes se concentrent principalement sur les vulnérabilités techniques du code. Les incidents liés aux "contrats zombies" relèvent d'un défaut de gestion du cycle de vie du contrat (non-désactivation technique) et sont donc généralement englobés dans la catégorie générale des "vulnérabilités du code", ce qui masque leur nature spécifique.

QQuelle est l'une des principales recommandations de l'article pour remédier au problème des contrats obsolètes ?

AL'article recommande de traiter la désactivation des contrats comme une étape essentielle de sécurité, avec un processus standardisé comprenant le transfert des actifs, la révocation des autorisations, la désactivation des fonctions clés et une surveillance continue, au même titre que les audits de code.

Lectures associées

Réorganisation épique de l'EF : 20 % de licenciements, budget divisé par deux, Ethereum se prépare-t-il à voyager léger ?

La Fondation Ethereum (EF) a annoncé une restructuration majeure, réduisant ses effectifs d'environ 20% (54 employés) et divisant son budget futur de près de moitié. L'objectif est de passer à un modèle de fonctionnement plus léger et ciblé, axé sur les biens publics et la recherche fondamentale, tout en transférant davantage de responsabilités de développement à l'écosystème élargi. Cette réforme, présentée comme un recentrage nécessaire, répond aux critiques récurrentes sur le rôle flou et l'efficacité perçue de la fondation. La nouvelle structure se organise autour de cinq pôles : protocole, accès, utilisateur, communauté et institutions. Vitalik Buterin a reconnu que ce resserrement entraînerait la fin de certains projets, comme l'équipe PSE, et une refonte d'événements comme le Devcon. Cependant, il souligne que cela permet à l'EF de se concentrer sur ses missions essentielles, tandis que de nouveaux acteurs indépendants (comme Ethlabs) émergent pour combler le vide et stimuler l'innovation. Cette évolution vers un écosystème plus décentralisé et résilient a même été saluée par des figures de la concurrence, tel que le co-fondateur de Solana, qui y voit un moyen pour l'EF d'être plus agile et décisive.

Odaily星球日报Il y a 21 mins

Réorganisation épique de l'EF : 20 % de licenciements, budget divisé par deux, Ethereum se prépare-t-il à voyager léger ?

Odaily星球日报Il y a 21 mins

Comment xBubble change la donne dans l’économie OPC massivement soutenue par les VC

Le concept de l'OPC (One Person Company) émerge comme un nouveau marché clé dans l'industrie de l'IA, déplaçant la question de l'amélioration de l'efficacité des employés vers celle de la viabilité d'une entreprise avec une équipe minimale. Des acteurs comme Replit et Lovable, avec des valorisations élevées, ont validé la demande d'outils de "AI coding" pour les non-techniciens. Cependant, un fossé persiste : ces outils facilitent la création de démos, mais peinent à fournir des applications stables, modifiables et prêtes pour une activité commerciale réelle, car ils exigent encore des compétences techniques pour la gestion du développement et des infrastructures. xBubble, de DAPPOS, adopte une approche différente : au lieu de simplement convertir un prompt en code (Prompt-to-Code), il transforme un objectif commercial en un chemin d'exécution via des SOP (procédures opératoires standardisées). L'utilisateur décrit son produit, sa clientèle et ses règles métier ; le système organise alors la construction logicielle, les flux et les connexions nécessaires (paiement, commandes). Cette approche "SOP-to-Business" réduit les décisions techniques laissées à l'utilisateur. xBubble s'appuie sur deux piliers : un moteur générant et optimisant des SOP à partir de cas réels, et un réseau de prestataires tiers qui gèrent le déploiement et l'infrastructure (serveurs, noms de domaine), permettant un lancement complet. Le paiement en crypto-monnaies est intégré pour faciliter les transactions transfrontalières. Sa cible est claire : les micro-entreprises ou créateurs disposant déjà d'une clientèle ou d'un produit, mais pour qui une équipe technique dédiée n'est pas justifiée. Ainsi, xBubble ne cherche pas à être l'outil de code AI le plus puissant, mais à devenir un système de lancement d'activité pour le marché OPC. Son potentiel réside dans sa capacité à rendre les SOP suffisamment matures et réutilisables pour offrir un chemin vers une activité opérationnelle et pérenne, à un coût accessible pour les non-techniciens.

链捕手Il y a 29 mins

Comment xBubble change la donne dans l’économie OPC massivement soutenue par les VC

链捕手Il y a 29 mins

Partenaire de Dragonfly, Haseeb : Pourquoi les entreprises à la croissance la plus rapide à l'avenir pourraient toutes rester bloquées à 149 personnes

L'article explore l'impact économique des modèles de tarification des grands modèles de langage (LLM) comme ceux d'Anthropic. Il souligne un écart significatif : les startups et petites entreprises bénéficient d'abonnements forfaitaires peu chers (équivalant à une subvention, voire une taxe négative sur l'automatisation par IA), tandis que les grandes entreprises (plus de 150 utilisateurs) paient des coûts à l'usage avec une forte majoration, assimilable à une "taxe" de 75% sur la main-d'œuvre IA. Cette différence crée des incitations opposées. Les startups sont incitées à maximiser l'usage ("tokenmaxxing") pour automatiser autant que possible, avec un coût marginal nul. Les grandes entreprises, pénalisées par un coût marginal élevé, automatisent moins et conservent davantage de main-d'œuvre humaine. L'auteur compare cela à une politique fiscale non intentionnelle qui pourrait façonner l'économie. Il prédit deux conséquences : 1) Le remplacement des emplois se produira principalement par la défaite des grandes entreprises face aux startups agiles et automatisées, plutôt que par des licenciements massifs directs dans les grands groupes. 2) Un "effet de seuil" à 150 employés pourrait inciter les entreprises les plus dynamiques à rester en dessous de ce cap pour conserver l'avantage tarifaire, favorisant une gestion "AI-first" extrême et des structures minimalistes.

链捕手Il y a 38 mins

Partenaire de Dragonfly, Haseeb : Pourquoi les entreprises à la croissance la plus rapide à l'avenir pourraient toutes rester bloquées à 149 personnes

链捕手Il y a 38 mins

Si ce n'est pas un "oui" clair, c'est un "non" : Retour d'expérience d'un VC après neuf ans et quatre cycles

**Résumé : « À investir ou pas ? Dans le doute, on n'investit pas » – Rétrospective sur 9 ans et 4 cycles d'un VC** Après neuf ans d'investissement et quatre cycles de marché, un fondateur de VC partage les enseignements clés tirés de l'observation de centaines de fondateurs dans la crypto. L'analyse identifie six profils types de « fondateurs voués à l'échec » : **1. Les profils à risque liés au fondateur :** * **Instable émotionnellement** : Mauvaise réaction sous pression (conflits, défensive). * **Manque de « faim » / a une issue de secours** : Pas d'engagement total dû à un filet de sécurité (richesse familiale, autre carrière). * **Ego incontrôlable** : « Machine à exécution » rigide ou « fondateur-professeur » peu coachable et en décalage avec les réalités commerciales. **2. Les risques liés à la structure du projet :** * **Token d'abord, produit après** : Le token est un outil de financement détaché de la valeur réelle du produit. * **Pas de thèse de sortie claire dès le jour 1** : Stratégie de financement et étapes mal définies. **3. Un facteur de pricing, pas une exclusion :** * **Aucune expérience d'un cycle complet** : Sous-estime la pression d'un vrai marché baissier. Cela conduit à limiter le ticket d'entrée initial. **Le profil idéal inverse ces défauts :** passion obsessionnelle pour un problème, fondateur en deuxième tentative avec une thèse non-consensuelle, excellente communicant avec un **ego « contrôlé »** (ambitieux mais ouvert), résilience, et une perspective globale couplée à de l'**agency** (capacité d'initiative) et du **taste** (bon jugement). **Trois conseils cruciaux aux fondateurs :** 1. **La trésorerie prime sur le récit.** 2. **Éviter de lancer un token à tout prix** : c'est une dette coûteuse (market-making, liquidité, conformité). 3. **Respecter la liquidité** : Vendre au meilleur moment, racheter au pire pour soutenir son protocole. La règle d'or du fonds pour traverser les cycles : face au doute sur un investissement, **« À investir ou pas ? Dans le doute, on n'investit pas »**. La discipline de dire « non » est plus cruciale que de trouver le « meilleur » fondateur.

Foresight NewsIl y a 56 mins

Si ce n'est pas un "oui" clair, c'est un "non" : Retour d'expérience d'un VC après neuf ans et quatre cycles

Foresight NewsIl y a 56 mins

SemiAnalysis analyse sur dix mille mots ChangXin Memory : 50 milliards de dollars de chiffre d'affaires, une introduction en bourse au sein d'un super-cycle

Changxin Memory (CXMT) s'apprête à réaliser la plus grande introduction en bourse (IPO) du secteur des semi-conducteurs en Chine. Fondée en 2016, l'entreprise a démarré en acquérant les brevets et en recrutant des talents de l'allemand Qimonda, en faillite. Soutenue par le gouvernement de Hefei qui a toléré des pertes pendant près d'une décennie, elle est devenue rentable pour la première fois en 2025. Ses revenus ont explosé pour atteindre 7,3 milliards de dollars au premier trimestre 2026, tirés par un cycle haussier exceptionnel du DRAM. Le rapport détaille son parcours technologique basé sur l'héritage de Qimonda, sa forte dépendance au capital-risque public patient, et sa croissance financière spectaculaire. Bien qu'elle soit désormais le quatrième plus grand acteur mondial du DRAM, elle reste confrontée à des défis majeurs : un écart technologique et de rendement significatif, notamment dans la production de HBM (mémoire à haute bande passante) essentielle pour l'IA, où ses capacités sont encore limitées. Sa structure d'IPO complexe, avec une forte influence de l'État et des droits de vote consolidant le contrôle, reflète son importance stratégique. Les fonds levés seront principalement consacrés au renforcement de sa production de DRAM standard, et non au HBM.

marsbitIl y a 1 h

SemiAnalysis analyse sur dix mille mots ChangXin Memory : 50 milliards de dollars de chiffre d'affaires, une introduction en bourse au sein d'un super-cycle

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow