Raydium s'engage à couvrir les pertes des utilisateurs après qu'un hacker ait siphonné 1,34 million de dollars des pools dépréciés

Un hacker a exploité une vulnérabilité dans le programme AMM V3 hérité de Raydium, siphonnant environ 1,34 million de dollars de cinq pools de liquidité qui avaient été dépréciés depuis 2021.
L'équipe Raydium a confirmé qu'elle était au courant du retrait de liquidité non autorisé et s'est engagée à couvrir les pertes.
L'attaque ciblait un code que l'échange décentralisé basé sur Solana a abandonné il y a cinq ans.
Selon Infra, un membre de l'équipe Raydium, aucun utilisateur actuel n'a été affecté car les pools étaient inaccessibles via l'interface de la plateforme depuis des années. Infra a également déclaré que "la compensation complète sera gérée par le trésor de Raydium."
Comment l'attaquant a-t-il pu exploiter les pools obsolètes ?
Selon Infra, "la vulnérabilité a été causée par un défaut de logique autonome, pas par une compromission de clé ou un problème de niveau d'autorité, donc il n'y a pas de risque de propagation."
Le chercheur en sécurité Param a déclaré sur X que l'attaquant avait trouvé une faille dans le code de Raydium datant de 2021. L'attaquant a identifié cinq pools de liquidité abandonnés ayant encore des fonds et a généré des reçus de propriété frauduleux.
Ces faux tokens LP ont trompé le contrat intelligent hérité en faisant passer l'attaquant pour un fournisseur de liquidité légitime, permettant un retrait complet des actifs de la pool.
La société de sécurité blockchain F12 a corroboré les soumissions, traçant l'attaque sur la blockchain. L'exploit s'appuyait sur un token LP fabriqué avec une offre d'une seule unité. Lorsque l'attaquant a soumis un retrait avec ce token, l'ancien programme a libéré l'intégralité du solde de la pool.
Où l'attaquant a-t-il déplacé les fonds volés ?
PeckShieldAlert a rapporté que le portefeuille de l'attaquant a été initialement financé via KuCoin. Après avoir drainé les pools sur Solana, ils ont transféré les fonds volés vers Ethereum via deBridge, générant environ 810 ETH.
L'attaquant a ensuite déposé la majeure partie de ce butin dans Tornado Cash, le protocole de mixage fréquemment utilisé pour obscurcir les origines des transactions. Il a ensuite déplacé 7 ETH via FixedFloat, selon l'analyse de PeckShieldAlert.
Selon l'équipe de Raydium, l'adresse de l'exploitant est 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.
Code hérité, risque actuel
Les programmes actuels de Raydium sont toujours actifs, selon Infra. Le protocole détient 796,56 millions de dollars en valeur totale verrouillée sur Solana et a traité plus de 1,1 milliard de dollars en volume DEX au cours des sept derniers jours, selon les données de DefiLlama.
Le programme AMM V3 qui a été exploité est séparé des pools actuellement en utilisation.
Cependant, ce n'est pas la première fois que Raydium subit une violation de sécurité. En décembre 2022, le protocole a perdu 4,4 millions de dollars après une compromission de clé privée.
La dernière violation s'ajoute à ce qui est devenu une vérification quasi quotidienne des exploits crypto en 2026.
Cryptopolitan a précédemment rapporté que CertiK a enregistré 60 incidents de sécurité confirmés rien qu'en mai, totalisant 68,3 millions de dollars de pertes brutes, le plus haut nombre d'incidents mensuels de l'année. Les vulnérabilités de code représentaient plus de 45 millions de dollars de ces pertes.
Quelques jours avant l'exploit de Raydium, les attaques sur Gnosis Pay et TesseraDAO ont coûté aux projets au moins 2,5 millions de dollars, et la vulnérabilité du protocole Flooring s'est propagée à son fork, Asterisk, via du code partagé.
À la fin mai, les pertes cumulées dues aux exploits crypto en 2026 approchaient 1,3 milliard de dollars. Les attaques liées aux ponts à elles seules représentent 340,7 millions de dollars de ce chiffre, a rapporté PeckShield.
L'équipe de Raydium a déclaré que ses contributeurs principaux effectuent un examen de sécurité sur tous leurs programmes mainnet.
Bien que la direction dise qu'elle compensera les fournisseurs de liquidité affectés, Raydium n'a pas précisé exactement comment et quand ils seront remboursés.
Ne te contente pas de lire les nouvelles crypto. Comprends-les. Abonne-toi à notre newsletter. C'est gratuit.