Хакер использовал уязвимость в устаревшей программе AMM V3 Raydium, вывел примерно 1,34 млн долларов из пяти пулов ликвидности, которые были отключены с 2021 года.
Команда Raydium подтвердила, что была осведомлена о несанкционированном снятии ликвидности и обязалась покрыть убытки.
Атака была направлена на код, который децентрализованная биржа на базе Solana вывела из эксплуатации пять лет назад.
По словам Infra, члена команды Raydium, текущие пользователи не пострадали, поскольку пулы были недоступны через интерфейс платформы в течение многих лет. Infra также заявила, что «полная компенсация будет осуществлена казной Raydium».
Как атакующий смог воспользоваться устаревшими пулами? По словам Infra, «уязвимость была вызвана внутренним логическим дефектом, а не компрометацией ключа или проблемой уровня полномочий, поэтому риска распространения нет».
Исследователь безопасности Param заявил в X, что атакующий нашёл ошибку в коде Raydium эпохи 2021 года. Атакующий обнаружил пять заброшенных пулов ликвидности, в которых всё ещё находились средства, и создал поддельные подтверждения владения.
Эти поддельные LP‑токены обманули устаревший смарт‑контракт, заставив его считать атакующего законным поставщиком ликвидности, что позволило полностью вывести активы пула.
Блокчейн‑компания по безопасности F12 подтвердила эти данные, отследив атаку в цепочке. Эксплойт опирался на поддельный LP‑токен с выпуском всего в одну единицу. Когда атакующий подал запрос на вывод, используя этот токен, старый контракт выпустил весь баланс пула.
Куда атакующий переместил украденные средства? PeckShieldAlert сообщил, что кошелёк атакующего изначально был пополнен через KuCoin. После вывода средств из пулов на Solana они перенесли украденные средства в Ethereum через deBridge, получив примерно 810 ETH.
Затем атакующий вложил большую часть этой суммы в Tornado Cash, микширующий протокол, часто используемый для сокрытия происхождения транзакций. По анализу PeckShieldAlert, они также перевели 7 ETH через FixedFloat.
По данным команды Raydium, адрес эксплуататора: 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.
Устаревший код, текущий риск Текущие программы Raydium всё ещё активны, согласно Infra. Протокол удерживает $796,56 млн общей заблокированной стоимости на Solana и обработал более $1,1 млрд объёма DEX за последние семь дней, согласно данным DefiLlama.
Эксплуатированная программа AMM V3 отделена от пулов, используемых в настоящее время.
Тем не менее, это не первый случай нарушения безопасности Raydium. В декабре 2022 года протокол потерял $4,4 млн после компрометации приватного ключа.
Последнее нарушение добавляет к почти ежедневным случаям крипто‑эксплойтов в 2026 году.
Cryptopolitan ранее сообщал, что CertiK зафиксировал 60 подтверждённых инцидентов безопасности только в мае, на общую сумму $68,3 млн убытков, что является самым высоким месячным показателем за год. Уязвимости кода составили более $45 млн этих потерь.
За несколько дней до эксплойта Raydium атаки на Gnosis Pay и TesseraDAO обошлись проектам как минимум в $2,5 млн, а уязвимость Flooring Protocol распространилась на его форк Asterisk через общий код.
По состоянию на конец мая совокупные потери от крипто‑эксплойтов в 2026 году приблизились к $1,3 млрд. Атаки, связанные с мостами, составляют $340,7 млн этой суммы, сообщает PeckShield.
Команда Raydium заявила, что её основные участники проводят проверку безопасности всех программ в основной сети.
Хотя руководство говорит, что компенсирует пострадавших поставщиков ликвидности, Raydium не раскрыла, как и когда будет произведена компенсация.
Самые умные умы криптомира уже читают нашу рассылку. Хотите присоединиться? Присоединяйтесь к ним.