Points clés à retenir :
Un projet d'amendement du XRP Ledger confirme formellement ce que les développeurs affirment depuis longtemps : son architecture de transactions rend les attaques par flash loans structurellement impossibles.
Une mise à niveau proposée pour le teneur de marché automatisé du registre, déposée le 26 mai par les développeurs Denis Angell et Roman Thpt, inclut une déclaration directe dans sa section Considérations de sécurité : « Les attaques par flash loans sont structurellement impossibles. Les transactions XRPL sont atomiques sans appels intra-transaction composables. »
Cette distinction importe alors que les pertes DeFi dues aux exploits de flash loans continuent de s'accumuler. Thorchain a perdu environ 10,8 millions de dollars le 15 mai lors d'une attaque inter-chaînes qui a drainé des fonds à travers Bitcoin, Ethereum, BSC et Base. Drift Protocol et KelpDAO représentent ensemble plus de 600 millions de dollars de pertes jusqu'en avril, selon les données citées dans la proposition. Les ponts inter-chaînes ont perdu plus de 2,8 milliards de dollars à cause d'attaques depuis 2021, selon les données de Chainalysis.
Les flash loans permettent à un trader d'emprunter de grosses sommes sans garantie, à condition que les fonds soient remboursés dans la même transaction. Les attaquants exploitent ce mécanisme en manipulant un oracle de prix ou en vidant un pool de liquidité, puis en remboursant le prêt avant que la transaction ne soit réglée. Ce schéma nécessite d'enchaîner plusieurs opérations au sein d'une seule enveloppe de transaction — une structure que la machine virtuelle d'Ethereum autorise via des contrats intelligents composables, mais que le XRPL bloque par conception.
Pourquoi l'architecture du XRPL ferme la voie aux attaques
Le XRPL traite chaque transaction comme une opération unique et autonome. Il n'existe pas d'appels intra-transaction, ce qui signifie qu'une transaction ne peut pas appeler un autre contrat pendant son exécution. La chaîne emprunt-manipulation-remboursement qui définit une attaque par flash loan ne peut pas exister dans ce modèle.
La contrepartie est que les flash loans remplissent également des fonctions légitimes. Les traders d'arbitrage, les bots de liquidation et les échanges de garanties sur Ethereum et Solana en dépendent pour l'efficacité du capital. Des protocoles comme Aave et dYdX ont construit des produits autour de ce mécanisme. Le XRPL renonce entièrement à ces cas d'usage pour éliminer cette catégorie d'exploits.
Un programme de bug bounty de 200 000 dollars ciblant la manipulation d'oracles et les vulnérabilités de flash loans a été mené d'octobre à novembre 2025. Les chercheurs n'ont trouvé aucune vulnérabilité exploitable, précise la proposition. Le 27 mai, l'amendement fixCleanup3_1_3 est entré en vigueur, corrigeant des erreurs comptables dans le protocole de prêt et d'autres fonctions DeFi.
L'activité institutionnelle s'accélère sur le XRPL
Les actifs tokenisés du monde réel sur le XRP Ledger ont dépassé les 3 milliards de dollars en valeur totale. Un projet pilote impliquant Ripple, JPMorgan, Mastercard et Ondo Finance a traité un rachat de bons du Trésor américain tokenisés en moins de cinq secondes le mois dernier, selon les équipes du projet.
Le réseau développe également le protocole de prêt XLS-66, qui introduira des prêts à terme fixe et sans garantie utilisant une évaluation de crédit hors chaîne associée à des pools de liquidité en chaîne, ainsi que les coffres à actif unique XLS-65, qui permettent aux fournisseurs de liquidité d'apporter des fonds mutualisés sans dépôts en deux jetons.
Pour les investisseurs institutionnels, la comparaison n'est pas simple. Ethereum dispose d'une liquidité plus profonde, d'une infrastructure DeFi plus mature et d'une base de développeurs plus vaste. L'argument du XRPL repose sur un avantage architectural prouvable : certaines catégories d'exploits sont éliminées au niveau de la couche de transaction plutôt que gérées via des paramètres de risque au niveau du protocole. Que ce compromis attire des capitaux significatifs dépendra de la quantité de liquidités qui migrera vers le registre à mesure que son infrastructure DeFi mûrit.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
