L'affaire du piratage de Raydium révèle un nouveau risque pour la DeFi : des anciens contrats oubliés

Foresight NewsPublié le 2026-06-13Dernière mise à jour le 2026-06-13

Résumé

L'incident de piratage de Raydium, où environ 1,34 million de dollars d'actifs ont été volés via d'anciens pools de marché automatique (AMM) V3 abandonnés, met en lumière un risque négligé dans le DeFi : les contrats intelligents obsolètes mais toujours actifs sur la blockchain. Ces "contrats zombies", officiellement mis hors service mais techniquement exploitables, constituent une nouvelle catégorie de vulnérabilités liée à la gestion du cycle de vie des contrats. Depuis mars 2025, au moins 8 incidents similaires ont été recensés, causant des pertes d'environ 22,5 millions de dollars. Le problème vient du fait que les projets se concentrent sur les versions actuelles, négligeant de sécuriser les anciens contrats qui conservent des actifs et restent accessibles. Le contrat V3 de Raydium, par exemple, avait été abandonné suite à l'arrêt de Serum mais n'avait pas été correctement désactivé, permettant aux pirates de contourner ses contrôles obsolètes. Les plateformes de sécurité classent généralement les incidents par type de faille technique (code, oracle, clés...), masquant ainsi cette faille de gestion. Une étude académique propose pourtant de distinguer clairement les vulnérabilités de gestion du cycle de vie des contrats. Pour remédier à ce problème, il est crucial de créer une catégorie dédiée aux "contrats zombies" et d'établir un processus standardisé de désactivation sécurisée. Ce processus devrait inclure le retrait des actifs, la révocation des autorisations, la ...


Rédigé par : Gino Matos

Compilé par : Luffy, Foresight News


TL;DR :


  • Un pirate a volé environ 1,34 million de dollars d'actifs en exploitant les pools de liquidités du marché automatique (AMM) V3 de Raydium, pourtant désactivés depuis longtemps.
  • Cet incident met en lumière un problème répandu : les anciens contrats abandonnés par les projets DeFi restent opérationnels sur la blockchain. Ces infrastructures sous-jacentes oubliées sont désormais des cibles d'attaque faciles à négliger.
  • Des rapports publics indiquent qu'au moins 8 incidents de piratage similaires ciblant des contrats anciens se sont produits dans le secteur depuis mars 2025, ce qui signifie qu'une grande quantité de code ancien non géré reste accessible de l'extérieur.


Récemment, une vulnérabilité dans l'AMM V3 de Raydium a entraîné une perte de 1,34 million de dollars, liée à cinq pools de liquidités en dehors de l'écosystème actuel du projet. Ces pools ne sont pas pris en charge par l'interface utilisateur ou le SDK de Raydium et sont inaccessibles aux utilisateurs ordinaires, mais ils ont tout de même été exploités par le pirate.


Cette attaque a ciblé les contrats et infrastructures sous-jacentes anciens et négligés par l'industrie, révélant une faille majeure dans la gestion du cycle de vie complet des contrats intelligents. Ce type de problème ne se limite pas à cet échange décentralisé de l'écosystème Solana.


Une catégorie de risque négligée


Selon les statistiques issues des rapports publics d'incidents de sécurité, depuis mars 2025, il y a eu au moins 8 cas avérés d'attaques exploitant des contrats abandonnés, obsolètes ou anciens, pour un montant total de pertes d'environ 10,8 millions de dollars.


Si l'on inclut les incidents de sécurité déclenchés par d'anciens pools de liquidités et des produits d'accompagnement obsolètes, le nombre total d'événements atteint 10 (y compris le présent piratage de Raydium), pour une perte totale d'environ 22,5 millions de dollars.


Actuellement, la plupart des plateformes de suivi des incidents de sécurité du secteur classent les types d'attaque en fonction de leur cause technique. Les catégories courantes incluent : les vulnérabilités du code des contrats intelligents, les défaillances de contrôle des autorisations, la manipulation des oracles, la fuite de clés privées, les défauts des ponts inter-chaînes, etc.


Les contrats zombies (c'est-à-dire les anciens contrats que le projet a annoncé comme désactivés mais qui restent appelables sur la blockchain) relèvent d'une dimension de risque complètement différente. Ils sont le résultat d'un problème de gestion du cycle de vie du contrat menant à un incident de sécurité, mais ils sont toujours noyés dans les statistiques des vulnérabilités classiques, sans être classés séparément.



La raison de l'abandon des pools AMM V3 de Raydium est l'arrêt définitif du projet Serum dont ils dépendaient, rendant cet ancien ensemble de contrats totalement inopérant, les actifs de liquidité correspondants restant inactifs sur la chaîne.


Les nouveaux contrats actuellement utilisés par Raydium vérifient doublement deux informations clés : premièrement, un mécanisme de vérification des totaux pour contrôler la proportion des actifs, et deuxièmement, la vérification de l'adresse de frappe des jetons de liquidité ainsi que de diverses informations de comptes associés.


Mais cet ancien contrat V3 omet complètement ces deux étapes de vérification. Le pirate a exploité cette vulnérabilité pour forger de nouveaux jetons de liquidité et se faire passer pour des titres légitimes, contournant ainsi toutes les règles de contrôle des risques.


Lors de cet incident, environ 150 177 RAY, 5 603 SOL et 893 700 USDC ont été volés. Ces actifs étaient stockés depuis longtemps dans les anciens pools de la plateforme. Bien que séparés de l'activité principale, leurs autorisations d'appel sur la chaîne n'avaient jamais été fermées.


Huit cas révèlent des problèmes communs


Depuis 2025, plusieurs projets DeFi connus sont tombés dans le piège des anciens contrats. Tous les événements présentent les mêmes caractéristiques : les équipes des projets déclarent que la version actuelle du produit et les utilisateurs actifs ne sont pas affectés, mais comme les anciens contrats n'ont pas été complètement désactivés, c'est finalement le trésor du projet qui supporte l'intégralité des pertes.



Pourquoi le risque des anciens contrats est-il négligé ?


Actuellement, la grande majorité des systèmes de classification des incidents de sécurité dans le secteur se concentrent sur les moyens d'attaque, les objets de manipulation, les points de défaillance du code, adoptant une perspective d'analyse « partant de la vulnérabilité technique ». Cela conduit également à masquer les incidents de type « contrat zombie ». Le cœur de ce type de problème n'a jamais été une erreur d'écriture du code, mais le fait que le projet aurait dû complètement désactiver l'ancien contrat mais ne l'a pas fait.


Un document de recherche du secteur datant de 2025, analysant 50 incidents de sécurité cryptographiques majeurs dans le monde entre 2022 et 2025, pour des pertes cumulées dépassant 1 milliard de dollars, a souligné que les attaques à fort impact sur la chaîne résultent souvent d'une superposition de risques en chaîne, impliquant simultanément plusieurs niveaux : opérations humaines, maintenance quotidienne, modèles économiques, cycle de vie des contrats, gouvernance communautaire, etc.


Le document propose un cadre d'analyse des causes profondes à quatre niveaux, classant clairement les vulnérabilités de gestion du cycle de vie des contrats et les vulnérabilités de gouvernance communautaire comme des catégories de risque indépendantes des vulnérabilités d'écriture de code. Le problème des contrats zombies est précisément une vulnérabilité typique de gestion du cycle de vie. Mais dans les systèmes statistiques de sécurité existants, ce type d'incident est généralement classé sous « vulnérabilité de code », et les données de pertes correspondantes sont masquées sous d'autres classifications, n'attirant pas suffisamment l'attention du secteur.


Méfiez-vous du « cimetière de contrats » : les anciennes infrastructures sont devenues une nouvelle cible d'attaque


Si les projets DeFi continuent de considérer la « désactivation des contrats » comme une tâche optionnelle, se contentant d'indiquer « ce contrat est désactivé » dans la documentation produit, sans retirer les actifs inactifs, fermer les fonctions d'appel, ni surveiller continuellement leur état, alors les pirates continueront de cibler ce « cimetière de contrats ».


Les historiques de déploiement de chaque grand projet DeFi sont désormais des cibles d'attaque consultables et exploitables par les pirates. Les 22,5 millions de dollars de pertes actuellement recensés ne représentent que la valeur des cas rendus publics. Le risque réel est bien plus élevé.


Les anciens pools de liquidités contenant des actifs mais éloignés du flux d'utilisation principal des utilisateurs, les interfaces d'autorisation historiques, les modules de coopération et d'intégration précoces, bénéficient d'une surveillance opérationnelle bien inférieure à celle des systèmes métier actuels, ce qui en fait précisément des cibles de choix pour les pirates.


Pour changer la situation, il faut d'abord classer les « contrats zombies » comme une catégorie de risque indépendante et les comptabiliser séparément dans les incidents. Ensuite, il faut intégrer le processus de désactivation des contrats dans les procédures de sécurité standardisées, au même niveau que l'audit de code. Une maintenance opérationnelle sur l'ensemble du cycle de vie est nécessaire pour réduire efficacement la surface d'attaque.


Les méthodes de traitement actuelles dans le secteur sont très similaires. Raydium a utilisé son trésor de projet pour compenser la perte de 1,34 million de dollars. Transit Finance et Huma Finance ont également assumé les pertes des utilisateurs via les fonds du projet.


Cela signifie également que la désactivation des contrats n'est plus seulement un travail de documentation, mais un maillon indispensable du contrôle de la sécurité.


Sept normes de contrôle de sécurité pour la désactivation des contrats


Pour la désactivation des anciens contrats, le secteur peut établir un processus de contrôle standardisé, avec les exigences et rôles spécifiques suivants :



Se contenter d'indiquer « contrat désactivé » dans la documentation, c'est simplement transférer le risque de sécurité au trésor du projet, tandis que le risque d'attaque persiste. Annoncer la désactivation uniquement au niveau produit sans la mettre en œuvre techniquement signifie que l'ancien contrat restera toujours appelable : l'équipe du projet le néglige, mais les pirates le surveillent constamment.


La valeur des projets DeFi ne réside pas seulement dans le montant actuel d'actifs verrouillés (TVL), mais aussi dans le code historique et l'architecture sous-jacente accumulés au fil du temps. Et ces morceaux d'histoire oubliés sont désormais devenus de nouvelles brèches de sécurité.

Questions liées

QQuel est l'événement principal décrit dans l'article et quelle en a été la conséquence financière ?

AL'article décrit l'exploitation d'une faille dans les pools de marché automatique V3 obsolètes de Raydium, ce qui a entraîné un vol d'actifs d'environ 1,34 million de dollars.

QQuel problème plus large l'incident de Raydium a-t-il mis en lumière dans l'écosystème DeFi ?

AIl a exposé le problème général des anciens contrats intelligents qui, bien que mis hors service par les projets, restent actifs sur la blockchain et deviennent des cibles d'attaque négligées, car ils ne sont plus surveillés.

QSelon l'article, combien d'incidents similaires impliquant d'anciens contrats ont été signalés depuis mars 2025 et quel est le montant total des pertes ?

ADepuis mars 2025, au moins 8 incidents distincts impliquant des contrats obsolètes ont été signalés, avec des pertes cumulées d'environ 10,8 millions de dollars. Si l'on inclut les pools de liquidités anciens, le nombre d'incidents s'élève à 10, pour un total d'environ 22,5 millions de dollars.

QPourquoi les risques liés aux "contrats zombies" sont-ils souvent négligés dans les classifications de sécurité existantes ?

ALes classifications de sécurité existantes se concentrent principalement sur les vulnérabilités techniques du code. Les incidents liés aux "contrats zombies" relèvent d'un défaut de gestion du cycle de vie du contrat (non-désactivation technique) et sont donc généralement englobés dans la catégorie générale des "vulnérabilités du code", ce qui masque leur nature spécifique.

QQuelle est l'une des principales recommandations de l'article pour remédier au problème des contrats obsolètes ?

AL'article recommande de traiter la désactivation des contrats comme une étape essentielle de sécurité, avec un processus standardisé comprenant le transfert des actifs, la révocation des autorisations, la désactivation des fonctions clés et une surveillance continue, au même titre que les audits de code.

Lectures associées

Un Trader de Bitcoin Affirme que les Sommets et les Creux des Cycles Correspondent à des Délais Exactement Identiques

Un trader utilisant le pseudonyme Ryan (@DodysDD) affirme avoir identifié une précision mathématique étonnante dans les cycles de prix du Bitcoin. Selon son analyse, les phases de marché haussier, du plus bas au plus haut (ATH), dureraient exactement 1064 jours, comme observé lors des cycles 2014-2017, 2018-2021 et 2022-2025. De même, les phases baissières (du pic au creux) correspondraient à 364 jours, comme en 2017-2018 et 2021-2022. Ce schéma, s'il se vérifiait, offrirait aux investisseurs un cadre temporel simple pour anticiper les tendances majeures. Cependant, l'article souligne les risques inhérents à ce type de théorie. La précision apparente dépend souvent du choix des points de référence (cours de clôture, sommets intradays...), ce qui peut conduire à une sélection biaisée des données. Il n'existe aucune preuve que le Bitcoin soit régi par un minutage aussi exact, son prix étant influencé par une multitude de facteurs (halvings, conditions macroéconomiques, psychologie des investisseurs...). Malgré ces limites, ce récit cyclique trouve un écho dans la communauté des traders, surtout dans un contexte actuel d'incertitude sur la phase de marché. Il fournit une narration simple face à la complexité. En conclusion, si l'observation sert de cadre d'analyse populaire, elle doit être abordée avec scepticisme et ne peut, à elle seule, prédire les futurs sommets ou creux du marché.

bitcoinistIl y a 18 mins

Un Trader de Bitcoin Affirme que les Sommets et les Creux des Cycles Correspondent à des Délais Exactement Identiques

bitcoinistIl y a 18 mins

94 billions, le plus grand financement de l'année pour les robots humanoïdes est apparu

Dans le secteur des robots humanoïdes, un tournant majeur est marqué par le financement record de 14 milliards de dollars (environ 94,9 milliards de yuans) levé par l'entreprise allemande Neura. Cette levée de fonds de série C, menée par des investisseurs industriels de renom comme Schaeffler et Bosch, ainsi que des géants technologiques (NVIDIA, Amazon), porte l'évaluation de Neura à environ 70 milliards de dollars. Cet investissement massif signale un changement profond : la filière passe d'une phase de démonstration technologique à une phase d'industrialisation et de déploiement concret en usine. Contrairement aux sociétés axées sur un robot humanoïde "universel" (comme Figure AI), Neura adopte une approche pragmatique, ciblant d'abord des applications industrielles verticales et spécifiques, comme en témoigne son partenariat avec BMW. La conjonction de plusieurs facteurs explique cet afflux de capitaux : les progrès de l'IA (modèles de grande taille) qui améliorent les capacités de perception et de décision des robots, et les pressions structurelles sur le marché du travail (vieillissement, pénurie de main-d'œuvre, coûts salariaux) qui créent une demande croissante dans la fabrication. Les principaux défis pour une adoption massive ne sont plus uniquement techniques. Ils concernent désormais les coûts d'adaptation aux lignes de production existantes, la formation des opérateurs et la mise en place d'un réseau de maintenance fiable. L'entrée en scène de capitaux industriels expérimentés démontre une confiance accrue dans la capacité du secteur à résoudre ces problèmes d'ingénierie et de modèle commercial, achevant ainsi la transition cruciale du laboratoire au sol de l'usine.

marsbitIl y a 5 h

94 billions, le plus grand financement de l'année pour les robots humanoïdes est apparu

marsbitIl y a 5 h

Coinbase Et Ethena Lancent Un Coffre-Fort USDC À Haut Rendement Propulsé Par Morpho

Coinbase a élargi son offre de prêt onchain avec le lancement d'un "Steakhouse Financial High Yield USDC Vault", développé en collaboration avec Ethena et alimenté par la plateforme Morpho. Ce produit, intégré directement à l'écosystème Coinbase, permet aux utilisateurs de déposer de l'USDC pour accéder à des rendements potentiellement plus élevés via les marchés de prêt DeFi. La principale différence avec les options antérieures réside dans son profil de risque. Ce nouveau coffre-fort accepte un mélange plus large de garanties, incluant des actifs synthétiques comme l'USDe d'Ethena, ce qui peut augmenter les rendements mais introduit également des risques liés au comportement des collatéraux et à la liquidité des marchés. Les taux affichés sont dynamiques et non garantis. Ce lancement illustre la tendance des plateformes centralisées à intégrer des stratégies DeFi complexes dans des interfaces simplifiées pour les rendre accessibles à un public plus large. Toutefois, cela souligne l'importance d'une compréhension claire des risques sous-jacents, notamment ceux liés aux contrats intelligents et à la stabilité des collatéraux synthétiques. L'accès au produit est actuellement limité aux utilisateurs éligibles aux États-Unis (sauf New York) et à certains marchés internationaux.

bitcoinistIl y a 9 h

Coinbase Et Ethena Lancent Un Coffre-Fort USDC À Haut Rendement Propulsé Par Morpho

bitcoinistIl y a 9 h

Le marché de la pré-introduction en bourse d'Anthropic chute après qu'une directive américaine force l'arrêt du modèle

Anthropic a annoncé avoir reçu une directive du gouvernement américain lui ordonnant de suspendre l'accès aux modèles Claude Fable 5 et Claude Mythos 5 pour les ressortissants étrangers, y compris ses propres employés étrangers. Cette mesure d'urgence, justifiée par des préoccupations de sécurité nationale liées au contrôle des exportations, a forcé la désactivation mondiale des deux modèles le 12 juin. Les autres modèles d'Anthropic, comme Claude Opus 4.8, restent opérationnels. La réaction du marché a été immédiate : le contrat perpétuel lié à Anthropic sur Hyperliquid a chuté de 3,7%, reflétant l'impact sur sa valorisation pré-IPO. Anthropic a contesté la base de cette directive, arguant que la vulnérabilité de "jailbreak" évoquée par le gouvernement était mineure, déjà connue et non exclusive à ses modèles. La société a averti qu'un tel seuil d'intervention, s'il était généralisé, pourrait stopper les déploiements de nouveaux modèles d'IA de pointe. Cet événement illustre comment la régulation de l'IA devient un facteur négociable sur les marchés financiers. Les instruments tokenisés et les contrats pré-IPO permettent désormais aux traders de réagir instantanément à ce type de nouvelles réglementaires, même en l'absence d'informations publiques détaillées. Cela intègre l'infrastructure d'IA dans une dynamique de marché spéculative similaire à celle de la cryptomonnaie, avec des risques de volatilité basée sur des informations incomplètes.

bitcoinistIl y a 11 h

Le marché de la pré-introduction en bourse d'Anthropic chute après qu'une directive américaine force l'arrêt du modèle

bitcoinistIl y a 11 h

Un portefeuille lié à une exploitation convertit des jetons volés en 18 510 ETH et 1 548 BNB

Un portefeuille lié à une exploitation a converti des actifs compromis en 18 510 ETH (évalués à environ 30,83 millions de dollars) et 1 548 BNB (environ 924 000 dollars), selon une alerte de suivi sur la chaîne partagée par WuBlockchain citant Lookonchain. L'attaquant, associé à des « jetons H » compromis, détient encore 111,36 millions de ces jetons d'une valeur d'environ 14 millions de dollars. Cette conversion vers des actifs plus liquides comme l'ETH et le BNB est une étape courante après une exploitation, souvent avant une tentative de retrait ou de mélange de fonds. Les grands échanges de ce type peuvent exercer une pression sur les liquidités, signaler les prochaines étapes de l'attaquant et offrir de nouvelles pistes de transaction à suivre pour les enquêteurs. Le suivi sur la chaîne, bien qu'utile pour visualiser les mouvements de fonds en temps réel, présente des limites : les portefeuilles peuvent fractionner les actifs rapidement, les déplacer entre différentes chaînes ou utiliser des adresses intermédiaires, compliquant le traçage. Les étiquettes attribuées aux portefeuilles peuvent également changer. Ces données représentent donc un instantané et non une estimation finale des pertes. Cet incident souligne l'utilité des comptes de surveillance sur la chaîne comme Lookonchain, qui peuvent révéler une activité avant la publication d'une enquête officielle. La conversion en actifs liquides rend également plus difficile et urgente toute tentative de récupération des fonds volés.

bitcoinistIl y a 13 h

Un portefeuille lié à une exploitation convertit des jetons volés en 18 510 ETH et 1 548 BNB

bitcoinistIl y a 13 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow