Un hacker a exploité une vulnérabilité dans le programme legacy AMM V3 de Raydium, drainant environ 1,34 million de dollars de cinq pools de liquidité qui étaient obsolètes depuis 2021.
L'équipe de Raydium a confirmé qu'elle était au courant du retrait de liquidité non autorisé et s'est engagée à couvrir les pertes.
L'attaque a visé du code que la bourse décentralisée basée sur Solana a abandonné il y a cinq ans.
Selon Infra, un membre de l'équipe Raydium, aucun utilisateur actuel n'a été affecté car les pools étaient inaccessibles via l'interface de la plateforme depuis des années. Infra a également déclaré que « une compensation complète sera prise en charge par le trésor de Raydium ».
Comment l'attaquant a-t-il pu exploiter les pools obsolètes ? Selon Infra, « la vulnérabilité était due à un défaut logique autonome, et non à une compromission de clé ou à un problème de niveau d'autorité, il n'y a donc aucun risque de propagation ».
Le chercheur en sécurité Param a déclaré sur X que l'attaquant avait trouvé une faille dans le code de Raydium datant de 2021. L'attaquant a identifié cinq pools de liquidité abandonnés contenant encore des fonds et a généré de faux reçus de propriété.
Ces faux jetons LP ont trompé le contrat intelligent legacy en le faisant considérer l'attaquant comme un fournisseur de liquidité légitime, permettant ainsi un retrait complet des actifs du pool.
La société de sécurité blockchain F12 a corroboré les soumissions, retraçant l'attaque sur la chaîne. L'exploitation reposait sur un jeton LP fabriqué avec une offre d'une seule unité. Lorsque l'attaquant a soumis un retrait en utilisant ce jeton, l'ancien programme a libéré l'intégralité du solde du pool.
Où l'attaquant a-t-il déplacé les fonds volés ? PeckShieldAlert a rapporté que le portefeuille de l'attaquant avait été initialement financé via KuCoin. Après avoir vidé les pools sur Solana, ils ont transféré les fonds volés vers Ethereum via deBridge, obtenant environ 810 ETH.
L'attaquant a ensuite déposé la majeure partie de ce butin dans Tornado Cash, le protocole de mixage fréquemment utilisé pour masquer l'origine des transactions. Ils ont ensuite transféré 7 ETH via FixedFloat, selon l'analyse de PeckShieldAlert.
Selon l'équipe Raydium, l'adresse de l'exploitant est 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.
Code hérité, risque actuel Les programmes actuels de Raydium sont toujours actifs, selon Infra. Le protocole détient 796,56 millions de dollars de valeur totale verrouillée sur Solana et a traité plus de 1,1 milliard de dollars de volume DEX au cours des sept derniers jours, d'après les données de DefiLlama.
Le programme AMM V3 qui a été exploité est distinct des pools actuellement utilisés.
Cependant, ce n'est pas la première fois que Raydium subit une faille de sécurité. En décembre 2022, le protocole a perdu 4,4 millions de dollars suite à la compromission d'une clé privée.
La dernière faille s'ajoute à ce qui est devenu une vérification quasi quotidienne des exploits cryptographiques en 2026.
Cryptopolitan a déjà rapporté que CertiK a enregistré 60 incidents de sécurité confirmés en mai seulement, totalisant 68,3 millions de dollars de pertes brutes, le nombre d'incidents mensuels le plus élevé de l'année. Les vulnérabilités de code ont représenté plus de 45 millions de dollars de ces pertes.
Quelques jours avant l'exploit de Raydium, des attaques contre Gnosis Pay et TesseraDAO ont coûté aux projets au moins 2,5 millions de dollars, et la vulnérabilité du Flooring Protocol s'est propagée à son fork, Asterisk, via du code partagé.
À la fin du mois de mai, les pertes cumulées dues aux exploits cryptographiques en 2026 approchaient les 1,3 milliard de dollars. Les attaques liées aux ponts seules représentent 340,7 millions de dollars de ce chiffre, selon PeckShield.
L'équipe Raydium a déclaré que ses contributeurs principaux effectuent une revue de sécurité de tous leurs programmes mainnet.
Bien que la direction affirme qu'elle indemnisera les fournisseurs de liquidité affectés, Raydium n'a pas précisé comment et quand ils seront remboursés.
Les esprits crypto les plus brillants lisent déjà notre newsletter. Vous voulez les rejoindre ? Rejoignez‑les.