10 Juin 2026

Déprécié ne veut pas dire sûr.

Oublié ne veut pas dire mort.

Et sur la blockchain, rien n'est vraiment enterré.

Dana Yang Hilang:

Adresse de l'attaquant :

4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

$RAY

Pool Qui N'est Pas Sur Les Maps

Imagine un vieux coffre-fort au sous-sol du bâtiment de la banque.

La banque a déménagé dans un nouveau bâtiment depuis 2021. Le nouveau hall est plus moderne, le système est audité, le personnel est formé. Mais la clé du vieux coffre-fort, d'une manière ou d'une autre... n'a jamais été retirée. Et à l'intérieur de ce coffre-fort, il y a encore de l'argent.

Voilà ce qui est arrivé à Raydium.

Cinq pools de liquidités dans le programme AMM V3 Legacy ont été laissés en vie sur le réseau Solana pendant presque cinq ans après que le protocole a officiellement déclaré qu'ils étaient obsolètes. Non visibles dans l'UI. Inaccessibles via le SDK officiel. Non touchés par des utilisateurs actifs depuis l'été 2021.

Mais le contrat est toujours actif.

Et à l'intérieur de ce contrat, des actifs réels demeurent assis tranquillement, attendant quiconque soit assez minutieux pour les trouver.

Que s'est-il passé ?

Pour comprendre pourquoi ces pools existent, nous devons revenir au passé de l'écosystème Solana.

Raydium construit son AMM V3 sur les fondations de Serum, un livre de commandes on-chain qui était alors le cœur de DeFi Solana. Cinq pools qui deviendront plus tard des victimes sont des paires d'actifs provenant de cette époque : Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY, et RAY-SOL.

Serum s'est ensuite effondré. Raydium migre. Les versions V4 et V5 naissent avec un approvisionnement virtuel et une vérification de compte plus stricte.

Le vieux code aurait dû être enterré avec Serum.

Mais ils ne l'ont pas fait.

La raison n'est pas simplement la négligence, il existe de réelles barrières techniques. Les contrats intelligents sur la blockchain sont immuables. Une fois qu'un programme est déployé, il n'y a pas de bouton DELETE à presser. Ce que l'équipe peut faire, c'est migrer activement la liquidité et désactiver le programme ID.

Il semble que cette dernière étape (le retrait formel) ait été négligée. Ou reportée. Ou considérée comme inutile, parce que "qui va trouver ces pools invisibles ?"

Mais finalement, quelqu'un l'a trouvé.

Précédent qui aurait dû être une leçon

Raydium n'est pas un nouveau nom sur la liste des victimes dans DeFi.

Décembre 2022. L'équipe Raydium se réveille avec une mauvaise nouvelle : environ 4,4 millions de dollars disparus en un instant. Pas à cause d'un bug de code. Pas à cause d'une validation faible. Pur et simple vol de clé privée. Quelqu'un a obtenu l'accès à la clé admin, et cela a suffi pour drainer les pools actifs.

L'incident est douloureux mais clair au niveau narratif, un ennemi évident, un vecteur d'attaque clair, une solution claire. L'équipe renforce la sécurité opérationnelle, migre vers un contrat nouvellement audité, et avance.

Ce qu'ils n'ont pas fait, c'est regarder en arrière.

Les anciens contrats abandonnés continuent de vibrer lentement sur la blockchain. Sans maître. Sans surveillance. Remplis de liquidités zombies qui ne pourront jamais être liquidées via l'interface officielle, mais peuvent encore être touchés par quiconque désireux de parler directement à leur contrat.

Trois ans et demi passent. Personne ne s'inquiète. Pas d'alarme.

Jusqu'au 10 juin 2026.

Anatomie du vol

Les hackers ne vont jamais annoncer au public qu'ils vont hacker. Tout se passe en silence, sans bruit. Quand tout le monde s'en rend compte, ils sont déjà partis.

Trouver la faille

La faiblesse réside dans la façon dont l'AMM V3 héritée valide les tokens LP (Liquidity Provider).

La logique est simple mais fatale : le vieux programme fait confiance à l'approvisionnement des tokens LP pour déterminer les proportions de retrait. Si vous détenez X % du total des LP, vous avez le droit de retirer X % de la liquidité du pool.

Le problème : ce programme ne vérifie pas l'adresse de mint des tokens LP.

Il ne vérifie pas si le token LP que vous soumettez provient vraiment d'un pool légitime. Il ne regarde que le chiffre de l'approvisionnement.

Ce n'est pas une faille subtile. C'est une supposition fondamentale erronée, une faille logique qui se cache derrière cinq ans de silence.

Exécution

Ses étapes sont brutalement simples :

  • Créez un nouveau token SPL. N'importe quel token. Rien à voir avec Raydium, avec le pool, avec quoi que ce soit.

  • Mettez en circulation 1 unité de ce token falsifié. Juste une. Approvisionnement total : 1.

  • Appelez la fonction de retrait sur l'AMM V3 hérité avec ce token falsifié comme "preuve de propriété LP".

  • Le vieux contrat calcule : l'attaquant possède 1 des 1 token LP existants → propriété 100 %

  • Le contrat libère tout le contenu du pool.

Répétez pour le pool suivant. Et le suivant. Et le suivant.

Cinq pools. Cinq itérations de la même technique. L'ensemble du processus est terminé en une session on-chain traçable par quiconque, mais trop tard pour l'arrêter.

Récolte

Des cinq pools qui ont été drainés :

  1. Sollet USDT-RAY

  2. Sollet ETH-RAY

  3. SRM-RAY

  4. USDC-RAY

  5. RAY-SOL

Total : 150.177 RAY, 5.603 SOL, 893.700 USDC.

1,34 million de dollars d'un code officiellement obsolète.

Trace de fuite

Source : https://arkm.com/explorer/address/4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

De KuCoin, avec salutations

Avant de lancer l'attaque, l'attaquant a commis une erreur qui sera retenue par les enquêteurs : ils ont financé leur portefeuille opérationnel via KuCoin, une bourse centralisée avec des procédures KYC.

C'est une ironie classique dans le monde des exploitations DeFi. Vous construisez une attaque qui exploite la nature sans permission de la blockchain, mais vous la commencez à partir d'un système qui enregistre votre identité.

KuCoin sait qui a déposé ces fonds au départ.

Route de fuite

Après avoir récolté les bénéfices à Solana, l'attaquant se déplace rapidement avec une route familière :

PeckShield et l'enquêteur on-chain Specter suivent ces mouvements en temps réel.

810 ETH vers Tornado Cash. Ce modèle est déjà devenu une signature dans l'action de blanchiment d'argent post-exploitation DeFi. Pas d'innovation. Pas de surprise. Et techniquement, Tornado Cash est désormais plus accessible, après que le Département du Trésor américain l'ait retiré de la liste des sanctions en mars 2025.

7 ETH vers FixedFloat. Comme un chemin supplémentaire, en décomposant la trace.

Les fonds restants : perdus dans le bruit d'Ethereum.

Paradoxe KuCoin

C'est ici que l'analyse devient intéressante.

Pipeline KuCoin→Tornado Cash n'est pas une nouvelle stratégie. C'est un modèle standard. Mais cela devient justement la faiblesse de l'attaquant. Parce que KuCoin est un point de contact avec un système régulé, leurs enregistrements KYC deviennent un ancrage d'attribution potentiel pour les enquêteurs. L'argent est déjà dans le mixer, mais l'identité de la personne qui a introduit le capital initial est peut-être déjà enregistrée sur les serveurs de KuCoin.

Est-ce suffisant ? Dans n'importe quelle juridiction désireuse de coopérer, cela le permet.

Réponse de Raydium

Raydium ne perd pas de temps.

Le contributeur pseudonyme @0xINFRA a annoncé directement sur X le même jour. Reconnaissance complète, détails techniques honnêtes, et (ce qui est le plus important) aucune tentative de minimiser l'incident.

Points cruciaux confirmés par l'équipe :

  • Ce n'est pas une compromission de clé. Ce n'est pas une attaque au niveau de l'autorité. C'est une pure faille logique isolée dans le code hérité.

  • Aucun risque de propagation. Les programmes actifs de Raydium (CLMM et AMM version nouvelle) utilisent des mécanismes différents et ne sont pas affectés.

  • Aucun utilisateur actif n'a été touché. Littéralement aucun utilisateur régulier ne peut toucher ces pools via l'interface officielle.

  • Remboursement complet du trésor. L'ensemble des 1,34 million de dollars sera remboursé à partir de la caisse du protocole. Aucune perte n'a été socialisée auprès des utilisateurs actifs.

  • Le programme ID AMM V3 Legacy est en cours de retrait formel, fermant la possibilité d'appels supplémentaires au code.

  • Un examen de sécurité complet est lancé pour tous les chemins de code mainnet et legacy.

Le token RAY a réagi calmement. Augmentant d'environ 2 % dans les 24 heures suivant l'incident. Il semble que le marché choisisse de lire la transparence de Raydium comme un signal de crédibilité, et non de panique face à l'ampleur de la perte.

Quelle leçon pouvons-nous tirer ?

Il y a une leçon technique qui est claire : la validation de l'adresse de mint sur le contrat AMM est une chose fondamentale. Vérifier que les tokens LP fournis proviennent vraiment d'un pool légitime n'est pas une fonctionnalité optionnelle. C'est un principe fondamental de la logique de retrait de liquidité.

Mais la leçon plus profonde n'est pas dans les lignes de code.

Il s'agit de responsabilité envers le système que vous avez construit.

Chronologie succincte

  1. 2021 - Serum obsolète, Raydium migre vers AMM V4/V5. Cinq pools legacy laissés avec du code actif et des fonds à l'intérieur.

  2. Décembre 2022 - Raydium exploité pour 4,4 millions de dollars via le vol de clé privée. L'équipe renforce la sécurité opérationnelle. Le code hérité reste inchangé.

  3. Mars 2025 - Tornado Cash retiré de la liste des sanctions OFAC/Trésor américain.

  4. Avant le 10 juin 2026 - L'attaquant finance son portefeuille opérationnel via KuCoin (données KYC enregistrées).

  5. 10 juin 2026 - L'exploitation est exécutée. Cinq pools sont drainés un par un en utilisant des tokens LP falsifiés fournis d'une unité. Total de 1,34 million de dollars disparus.

  6. 10 juin 2026 - PeckShield & Specter détectent et suivent les mouvements de fonds en temps réel.

  7. 10 juin 2026 - Les fonds sont pontés de Solana à Ethereum. 810 ETH vont à Tornado Cash. 7 ETH à FixedFloat.

  8. 10 juin 2026 - @0xINFRA annonce l'incident sur X. Raydium confirme le remboursement complet du trésor.

  9. 10 juin 2026 - Un examen de sécurité complet est lancé. Le programme ID hérité est en cours de retrait formel.

Références :

https://www.cryptotimes.io/2026/06/10/old-code-new-damage-raydium-hit-by-1-34m-legacy-pool-hack/

https://cryptonews.com/news/raydium-exploit-fake-lp-tokens-deprecated-solana-pools/

https://cryptobriefing.com/raydium-exploit-legacy-amm-v3/

https://www.ccn.com/news/crypto/raydium-exploit-legacy-pools-solana/

https://blockonomi.com/raydium-legacy-amm-v3-exploited-for-1-34m-via-lp-mint-flaw/

https://twitter.com/PeckShieldAlert

https://twitter.com/0xINFRA

Écrit : 12 juin 2026

Basé sur les rapports on-chain et les divulgations officielles de Raydium

$RAY $SOL

RAY
RAY
--
--

#analysis #altcoins