Un exploit de Raydium a drainé 1,3 million de dollars depuis des pools Solana obsolètes. Voici comment l’attaquant a contourné la sécurité et ce que Raydium prévoit ensuite.
Raydium, l’un des principaux échanges décentralisés de Solana, a confirmé un exploit ciblant son programme AMM V3 hérité. L’attaque a drainé environ 1,34 million de dollars d’actifs cryptographiques provenant de cinq pools de liquidité inactifs.
Aucun des pools concernés n’était accessible aux utilisateurs actuels via l’interface ou le SDK de Raydium. L’équipe a retracé la vulnérabilité à une validation insuffisante des mints de jetons LP dans le programme obsolète. Raydium a confirmé un remboursement intégral depuis son trésor.
Lire aussi :
https://www.livebitcoinnews.com/humanity-protocol-confirms-36m-exploit-after-employee-laptop-breach-h-token-crashes-90/
Comment l’attaquant de Raydium a réussi son coup
L’exploit ciblait des pools que Raydium avait abandonnés dès 2021.
Selon le compte infrastructure de Raydium sur X, le programme AMM V3 hérité n’a jamais offert de fonctionnalité d’échange. Après l’abandon de Serum, la liquidité dans ces pools est restée simplement inactive, sans surveillance active.
L’attaquant a identifié une faille critique dans la manière dont le programme vérifiait les jetons LP.
Au lieu de confirmer l’adresse légitime du mint LP, le programme s’appuyait sur l’approvisionnement en jetons LP pour les vérifications de proportion. Cette faille a permis à l’attaquant de déployer un faux mint, de contourner entièrement les vérifications, et de drainer directement les actifs.
Raydium is aware of an exploit involving unauthorized removal of liquidity from its legacy AMM V3 program which was previously phased out in 2021.
No current users of Raydium are affected by this exploit or would have been able to interact with these pools through the UI since…
— Infra | Raydium (@0xINFRA) June 10, 2026
Les cinq pools touchés étaient Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY et RAY-SOL. Les pertes combinées totalisaient environ 150 177 RAY, 5 603 SOL et 893 700 USDC.
La piste on-chain mène à KuCoin et Tornado Cash
La société de sécurité blockchain PeckShield a signalé les mouvements de l’attaquant après l’exploit.
Selon PeckShieldAlert, l’attaquant a financé l’opération via KuCoin. Après avoir drainé les pools sur Solana, ils ont transféré les fonds volés vers Ethereum via un pont.
De là, l’attaquant a déposé 810 ETH dans Tornado Cash et déplacé 7 ETH vers FixedFloat. L’adresse du portefeuille de l’exploiteur, 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk, est désormais publiquement signalée dans la communauté.
Le mouvement inter-chaînes indique un effort délibéré pour obscurcir les fonds volés. Cette piste correspond aux schémas observés dans les exploits DeFi précédents ciblant des infrastructures héritées.
#PeckShieldAlert Specter reported that @Raydium has been drained of $1.3M worth of crypto
The attacker was initially funded from #KuCoin, bridged the stolen funds from #Solana to ETH, and deposited 810 $ETH to #TornadoCash and 7 ETH to #FixedFloat. pic.twitter.com/Cm3nQwUfZV
— PeckShieldAlert (@PeckShieldAlert) June 10, 2026
Ce que Raydium dit des utilisateurs actifs et des prochaines étapes
Raydium a été direct en répondant aux préoccupations des utilisateurs. Son équipe infrastructure a confirmé qu’aucun utilisateur actuel n’était exposé.
Le DAPP et le SDK ne prennent pas en charge les interactions avec les pools AMM V3 hérités sur le mainnet, ce qui signifie que les utilisateurs quotidiens n’auraient pas pu interagir avec les contrats concernés.
Raydium a également clarifié la nature de la faille. La vulnérabilité provenait d’une erreur logique autonome, et non d’une compromission de clé ou d’un problème de niveau d’autorité. Cela écarte tout risque de propagation à d’autres parties du protocole.
Tous les autres programmes mainnet de Raydium utilisent un mécanisme d’approvisionnement virtuel. Ces programmes vérifient également correctement les mints LP et toutes les données pertinentes des comptes, bloquant ainsi cette classe d’attaque entièrement. Les contributeurs principaux effectuent désormais une revue de sécurité complète sur tous les programmes mainnet.
Laisser un commentaire