Explication des oracles blockchain : l’infrastructure indispensable à la DeFi
En octobre 2022, un trader du nom d'Avraham Eisenberg s'est introduit sur Mango Markets avec un plan bien ficelé. Il a ouvert deux comptes : l'un lui a permis de prendre des positions massives sur les contrats à terme perpétuels MNGO, et l'autre de manipuler artificiellement le cours au comptant du MNGO sur un marché à faible liquidité. Le système qui alimente Mango Markets en données de prix a interprété ce prix manipulé comme étant réel. Eisenberg a emprunté 117 millions de dollars en utilisant ses garanties artificiellement gonflées comme garantie. Il est reparti avec l'argent. Le système a été vidé de ses fonds.
Voilà, en résumé, le problème des oracles. Un contrat intelligent ne vaut que par les données qu'il reçoit. Si on lui fournit une valeur erronée, il exécutera des instructions totalement fausses. La manipulation des oracles a coûté plus de 400 millions de dollars aux projets DeFi rien qu'en 2022. L'OWASP classe la manipulation des oracles de prix comme la deuxième vulnérabilité majeure des contrats intelligents en 2025.
Cet article explique ce que sont les oracles blockchain, pourquoi ils sont si importants pour la sécurité de la DeFi, comment fonctionnent les principaux réseaux d'oracles et ce qui distingue les protocoles exploités de ceux qui ne le sont pas.
Qu'est-ce qu'un oracle blockchain ?
Les blockchains sont des écosystèmes fermés. Elles n'ont accès qu'aux données enregistrées sur la chaîne. Un contrat intelligent sur Ethereum ignore totalement le cours de l'ETH sur Coinbase. Il ne peut pas vérifier s'il a plu à Tokyo. Il ne peut pas reproduire fidèlement l'évolution du S&P 500 d'hier. En soi, un contrat intelligent est totalement déconnecté du monde réel.
Les oracles résolvent ce problème. Ils collectent les données du monde réel, les reconditionnent pour la blockchain et les transmettent aux contrats intelligents. Prix, météo, résultats sportifs, taux d'intérêt : toutes les données hors chaîne nécessaires à la logique sur la blockchain peuvent être utilisées.
Cela paraît simple, mais c'est l'élément d'infrastructure le plus important de la DeFi. Lorsque vous empruntez sur Aave, le protocole doit connaître la valeur de votre garantie. Cette valeur provient d'un oracle. Lorsque vous négociez des contrats à terme perpétuels sur GMX, le prix d'exécution provient également d'un oracle. Lorsqu'un protocole de stablecoin décide de liquider une position, le déclencheur est un flux de prix provenant d'un oracle. À elle seule, Chainlink sécurise plus de 93 milliards de dollars de valeur totale sur l'ensemble des protocoles DeFi et a permis plus de 27 000 milliards de dollars de transactions cumulées.
Si l'oracle est erroné, le protocole l'est aussi. Et contrairement à un bogue dans le code applicatif, une source de données oracle défectueuse peut compromettre l'intégralité du protocole en un seul bloc.
Le problème de l'oracle : pourquoi est-ce difficile ?
Voici le nœud du problème. Vous avez créé un protocole décentralisé, contrôlé par aucune entité unique. Or, vous y intégrez une API provenant d'une seule plateforme d'échange pour obtenir les données de prix. Félicitations, vous venez de faire de cette API le point de défaillance unique de tout votre système.
C’est le problème des oracles. Un oracle centralisé est piraté ? Votre protocole perd tout. Une API tombe en panne ? Les positions ne peuvent plus être liquidées. Un fournisseur de données est corrompu ? Les chiffres sont faussés et le contrat intelligent agit sur cette base.
Les réseaux d'oracles décentralisés existent grâce à ce principe. Chainlink utilise plusieurs nœuds indépendants qui extraient chacun des données de sources multiples. Ils s'accordent sur le nombre avant de le publier sur la blockchain. Vous voulez manipuler un flux Chainlink ? Il faudrait compromettre la plupart des nœuds simultanément. Bien plus difficile que d'usurper une seule API.
Le hic, c'est le coût. Gérer un réseau d'oracles décentralisé est onéreux. Les frais de gaz pour l'envoi de données sur la blockchain s'accumulent rapidement. Certains protocoles misent sur le bas coût, choisissent un seul pool DEX comme source de prix et se retrouvent sur rekt.news trois mois plus tard.
Comment fonctionnent réellement les attaques par oracle
Deuxième vecteur d'attaque le plus fréquent dans la DeFi. 403 millions de dollars de pertes en 2022. 52 millions en 2024. Environ 70 millions en 2025. Le mode opératoire reste quasiment inchangé.
Un attaquant obtient un prêt éclair. Des millions en cryptomonnaie, sans garantie, remboursés dans le même bloc. Il utilise ce capital emprunté pour le déverser dans un pool DEX auquel un protocole fait confiance pour les données de prix. Le prix s'envole. Oracle interprète cette hausse comme réelle.
L'attaquant accède ensuite au protocole cible. Il emprunte en utilisant les garanties surévaluées, déclenche des liquidations sur les positions d'autrui ou émet des jetons à un prix fictif. Quel que soit le mode opératoire, l'oracle constitue le point d'entrée.
Dernière étape : rembourser le prêt éclair. Empocher la différence. Une seule transaction. Un seul bloc. Terminé avant même que quiconque ne s’en aperçoive.
L'attaque contre Mango Markets est la plus connue, mais elle n'était pas un cas isolé. Inverse Finance a perdu 15,6 millions de dollars suite à une manipulation de l'oracle TWAP. KiloEx a perdu 7 millions de dollars en avril 2025. Yellow Protocol a perdu 2,4 millions de dollars car il dépendait d'un seul pool DEX pour ses données de prix. Un chercheur en sécurité l'a exprimé sans détour : tout protocole utilisant un seul pool de liquidités comme oracle de prix a « 99,9 % de chances d'être exploité ».
| Attaque Oracle | Date | Perte | Qu'est-ce qui s'est mal passé ? |
|---|---|---|---|
| Marchés de la mangue | Octobre 2022 | 117 millions de dollars | Source oracle unique, pool de liquidités mince manipulé |
| Financement inversé | 2022 | 15,6 millions de dollars | Oracle TWAP sur une paire à faible liquidité, délit d'initié |
| Capitale radieuse | Janvier 2024 | 4,5 millions de dollars | Exploitation des erreurs d'arrondi lors de l'utilisation de prêts flash dans le code Compound/Aave |
| KiloEx | Avril 2025 | 7 millions de dollars | manipulation de l'oracle des prêts flash |
| Protocole jaune | Avril 2025 | 2,4 millions de dollars | Un seul pool DEX a été utilisé comme source de prix. |
Chainlink vs Pyth vs RedStone : le paysage des oracles
Trois réseaux d'oracles seront importants en 2026. Chacun adopte une approche différente.
Chainlink est le leader du marché. Il détient 63 à 70 % de parts de marché en valeur totale sécurisée. Plus de 1 659 flux de prix répartis sur 29 blockchains. 2 100 intégrations de projets. Son fonctionnement repose sur des réseaux d'oracles de type « push », où les nœuds mettent à jour proactivement les données sur la blockchain selon une planification ou lorsque les prix dépassent un seuil défini. L'approche de Chainlink privilégie la sécurité et la décentralisation. Elle repose sur de multiples nœuds, de multiples sources de données et un consensus avant la livraison. Le compromis réside dans la vitesse et le coût : la mise à jour constante des données sur la blockchain nécessite du gaz.
Chainlink a également développé CCIP (Cross-Chain Interoperability Protocol), qui a traité 18 milliards de dollars en un seul mois, en mars 2026. Coinbase utilise CCIP comme passerelle exclusive pour 7 milliards de dollars d'actifs encapsulés. Lido, Maple Finance et Stellar l'ont adopté. CCIP transforme Chainlink, d'un simple fournisseur de flux de prix, en une infrastructure inter-chaînes.
Issu de l'écosystème Solana, Pyth Network fonctionne différemment. Basé sur le principe de la « pull », il stocke les données hors chaîne jusqu'à ce qu'un utilisateur ou un protocole les demande ; elles sont alors publiées sur la chaîne au moment de leur utilisation. Ce processus est plus rapide et moins coûteux. Pyth obtient ses données directement auprès de sources propriétaires, ce qui signifie que les plateformes d'échange et les sociétés de trading publient leurs propres prix au lieu de dépendre de services tiers. 2 828 flux de prix sont disponibles sur 113 blockchains. 48 % du volume d'échanges des DEX utilisant des oracles transite par Pyth à l'échelle mondiale. Le département du Commerce américain a même mené un projet pilote avec Pyth pour la diffusion des données fédérales du PIB.
RedStone est le nouvel acteur à la croissance la plus rapide. Plus de 10 milliards de dollars de valeur totale sécurisée. Plus de 110 chaînes et 140 projets DeFi. RedStone se spécialise dans les garanties génératrices de rendement : tokens de staking liquide, tokens de restaking liquide et BTC LST. Lors d'une liquidation DeFi de 2 milliards de dollars en février 2024, RedStone a diffusé 119 000 mises à jour de prix en 24 heures et a fourni les mises à jour ETH/USDC 30 % plus rapidement que Chainlink. C'est le seul oracle proposant des modèles push et pull entre les chaînes.
| Oracle | TVS | Flux de prix | Chaînes | Modèle | Spécialité |
|---|---|---|---|---|---|
| maillons | 93 à 95 milliards de dollars | 1 659 | 60+ | Push (programmé) | Adoption institutionnelle, CCIP inter-chaînes |
| Pyth | 5,5 à 6,1 milliards de dollars | 2 828 | 113 | Tirer (à la demande) | Données d'échange de première partie, leader du volume DEX |
| Redstone | Plus de 10 milliards de dollars | Des centaines | 110+ | Pousser + Tirer | Garanties à rendement, mises à jour ultra-rapides |
| API3 | <3% part | Limité | Multiple | Première partie (Airnode) | Aucun nœud intermédiaire |
| Protocole de bande | Petit | Limité | Multiple | Pousser | Cosmos-native, pivot vers l'IA et les données |
Types d'oracles blockchain
Les oracles ne forment pas un ensemble homogène. Chaque rôle a sa propre conception.
Les flux de prix sont essentiels. Chaque protocole de prêt, chaque plateforme d'échange perpétuel, chaque mécanisme de stablecoin repose sur des données de prix. Aave a besoin de connaître la valeur de votre collatéral. GMX a besoin des prix d'exécution. MakerDAO a besoin de savoir quand liquider. Un prix erroné entraîne un résultat erroné. À chaque fois.
Les oracles inter-chaînes ne se contentent pas de transmettre des nombres ; ils permettent l’échange de messages entre blockchains. Le protocole CCIP de Chainlink traite des milliards de dollars de transferts inter-chaînes. Au lieu de s’appuyer sur un simple pont multisignature, le réseau d’oracles vérifie lui-même chaque message. À titre d’exemple, 18 milliards de dollars ont transité par CCIP en un seul mois, en mars 2026.
Des oracles de calcul effectuent des calculs hors chaîne et publient les résultats. Aléatoire vérifiable pour les distributions de NFT et les jeux. Exécution automatisée des contrats en fonction de déclencheurs temporels ou d'événements sur la chaîne. Agrégation de données provenant de dizaines de sources en une seule valeur unique.
Les oracles matériels connectent le monde physique. Capteurs de température pour l'assurance récolte. Données GPS pour les contrats de transport. Relevés IoT pour tout ce qui se passe dans le monde réel.
Les oracles humains constituent le dernier recours. Certaines données ne peuvent être vérifiées par machine : décisions de justice, résultats subjectifs d’événements. Les marchés de prédiction s’appuient sur le consensus humain pour trancher les paris.
