Een Raydium-exploit haalde $1,3 miljoen uit verouderde Solana-pools. Hier is hoe de aanvaller de beveiliging omzeilde en wat Raydium vervolgens doet.
Raydium, een van Solana’s toonaangevende gedecentraliseerde exchanges, bevestigde een exploit gericht op zijn legacy AMM V3-programma. De aanval haalde ongeveer $1,34 miljoen aan crypto-activa uit vijf inactieve liquiditeitspools.
Geen van de getroffen pools waren toegankelijk voor huidige gebruikers via de interface of SDK van Raydium. Het team traceerde de kwetsbaarheid naar onvoldoende validatie van LP-token-mints binnen het verouderde programma. Raydium bevestigde volledige terugbetaling uit zijn schatkist.
Lees ook:
https://www.livebitcoinnews.com/humanity-protocol-confirms-36m-exploit-after-employee-laptop-breach-h-token-crashes-90/
Hoe de Raydium-aanvaller het voor elkaar kreeg
De exploit was gericht op pools die Raydium in 2021 uitfaseerde.
Volgens het infrastructuuraccount van Raydium op X bood het legacy AMM V3-programma nooit swapfunctionaliteit. Na de deprecatie van Serum bleef de liquiditeit in die pools gewoon inactief zonder actief toezicht.
De aanvaller identificeerde een kritieke fout in hoe het programma LP-tokens controleerde.
In plaats van het legitieme LP-mintadres te bevestigen, vertrouwde het programma op LP-token supply voor verhoudingscontroles. Die opening stelde de aanvaller in staat een nep-mint in te zetten, de controles volledig te omzeilen en activa direct weg te halen.
Raydium is aware of an exploit involving unauthorized removal of liquidity from its legacy AMM V3 program which was previously phased out in 2021.
No current users of Raydium are affected by this exploit or would have been able to interact with these pools through the UI since…
— Infra | Raydium (@0xINFRA) June 10, 2026
De vijf getroffen pools waren Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY en RAY-SOL. De gecombineerde verliezen bedroegen ongeveer 150.177 RAY, 5.603 SOL en 893.700 USDC.
On-chain spoor wijst naar KuCoin en Tornado Cash
Blockchain-beveiligingsbedrijf PeckShield signaleerde de bewegingen van de aanvaller na de exploit.
Volgens PeckShieldAlert financierde de aanvaller de operatie via KuCoin. Nadat ze de pools op Solana hadden leeggehaald, bridgeiden ze de gestolen fondsen naar Ethereum.
Van daaruit stortte de aanvaller 810 ETH in Tornado Cash en verplaatste 7 ETH naar FixedFloat. Het portemonnee-adres van de exploiter, 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk, is nu openbaar gemarkeerd in de community.
De cross-chain beweging wijst op een opzettelijke poging om de gestolen fondsen te verdoezelen. Dat spoor is consistent met patronen gezien in eerdere DeFi-exploits gericht op legacy-infrastructuur.
#PeckShieldAlert Specter reported that @Raydium has been drained of $1.3M worth of crypto
The attacker was initially funded from #KuCoin, bridged the stolen funds from #Solana to ETH, and deposited 810 $ETH to #TornadoCash and 7 ETH to #FixedFloat. pic.twitter.com/Cm3nQwUfZV
— PeckShieldAlert (@PeckShieldAlert) June 10, 2026
Wat Raydium zegt over actieve gebruikers en volgende stappen
Raydium was direct in het aanpakken van gebruikerszorgen. Het infrastructuurteam bevestigde dat geen enkele huidige gebruiker blootstelling had.
De DAPP en SDK ondersteunen geen interacties met legacy AMM V3-pools op mainnet, wat betekent dat dagelijkse gebruikers geen interactie konden hebben met de getroffen contracten.
Raydium verduidelijkte ook de aard van de fout. De kwetsbaarheid kwam van een op zichzelf staande logische fout, geen sleutelcompromis of autoriteitsniveau-probleem. Dat sluit propagatierisico naar andere delen van het protocol uit.
Alle andere Raydium-mainnetprogramma’s gebruiken een virtueel aanbodmechanisme. Die programma’s verifiëren ook correct LP-mints en alle relevante accountgegevens, waardoor deze klasse van aanval volledig wordt geblokkeerd. Kernbijdragers voeren nu een volledige beveiligingsbeoordeling uit over alle mainnetprogramma’s.
Geef een reactie