🔴 hack

Rhea Finance : 7,6 millions $ envolés via une manipulation d'oracle

Rhea Finance perd 7,6 millions de dollars suite à une attaque par manipulation d'oracle sur NEAR Protocol. Voici comment les hackers ont opéré.
📅 jeudi 16 avril 2026 ⏱ 2 min de lecture · 5 vues
Rhea Finance : 7,6 millions $ envolés via une manipulation d'oracle

Rhea Finance vient de se faire vider de 7,6 millions de dollars. Le protocole DeFi basé sur NEAR Protocol a été la cible d'une attaque par manipulation d'oracle, l'une des techniques les plus redoutées dans l'écosystème décentralisé.

Le mode opératoire est classique mais efficace. Les attaquants ont d'abord créé de faux tokens de toutes pièces, puis ont monté de nouveaux pools de liquidité spécialement conçus pour fausser les données de prix. L'oracle du protocole, chargé de lire les cours du marché, a été trompé par ces informations bidons. Résultat : il a valorisé des actifs sans valeur réelle à des prix artificiellement gonflés.

Une fois l'oracle manipulé, le reste coule de source. Les hackers ont utilisé ces faux prix comme collatéral pour emprunter ou drainer les liquidités du protocole. En quelques transactions, 7,6 millions de dollars de fonds réels ont quitté le protocole. NEAR Protocol, la blockchain sur laquelle tourne Rhea Finance, n'a pas été compromise directement. C'est bien la couche applicative qui a failli.

Ce type d'attaque n'est pas nouveau. Les manipulations d'oracle représentent une part significative des hacks DeFi depuis plusieurs années. Le principe reste toujours le même : un protocole fait confiance à une source de prix, et cette source est corrompue. La décentralisation des oracles, avec des solutions comme Chainlink ou Pyth, est censée mitiger ce risque. Mais les protocoles plus petits ou plus récents, souvent à la recherche de solutions moins coûteuses, restent des cibles de choix.

Rhea Finance n'a pas encore publié de post-mortem détaillé au moment où ces lignes sont écrites. Aucune annonce de remboursement des victimes n'a été faite non plus. Les utilisateurs ayant des fonds sur le protocole sont invités à surveiller les communications officielles de l'équipe.

Cet incident rappelle que dans l'univers des protocoles décentralisés, l'audit du code seul ne suffit pas. La robustesse des sources de données externes est tout aussi critique que celle des smart contracts eux-mêmes.

Ce que ça change : Les équipes DeFi doivent traiter la sécurité des oracles comme une priorité absolue, au même titre que l'audit du code. Accepter des données de prix issues de pools peu liquides et récents, c'est laisser la porte ouverte aux hackers. Les utilisateurs, eux, feraient bien de vérifier systématiquement d'où viennent les prix affichés par les protocoles sur lesquels ils déposent des fonds.

A lire aussi
Hack Drift Protocol : Circle au tribunal pour 280M$ de USDC volés
hack
Hack Drift Protocol : Circle au tribunal pour 280M$ de USDC volés
 Grinex hacké : 13M$ envolés, la Russie crie à l'espionnage
hack
Grinex hacké : 13M$ envolés, la Russie crie à l'espionnage
 Drift hack : Circle incapable de geler les fonds, Tether prend sa place
hack
Drift hack : Circle incapable de geler les fonds, Tether prend sa place