10 czerwca 2026

Przestarzałe nie znaczy bezpieczne.

Zapomniane nie znaczy martwe.

A na blockchainie nic nie jest naprawdę zakopane.

Dana Yang Hilang:

Adres Atakującego:

4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

$RAY

Pool, Którego Nie Ma Na Mapach

Wyobraź sobie stary sejf na parterze budynku bankowego.

Ten bank przeniósł się do nowego budynku w 2021 roku. Nowe lobby jest bardziej nowoczesne, system jest audytowany, personel jest przeszkolony. Ale klucz do starego sejfu, w jakiś sposób... nigdy nie został usunięty. A w tym sejfie wciąż są pieniądze.

To właśnie się stało z Raydium.

Pięć pooli likwidności w programie AMM V3 Legacy zostało pozostawionych na sieci Solana przez prawie pięć lat po tym, jak protokół oficjalnie ogłosił je jako deprecated. Nie widoczne w UI. Nieosiągalne przez oficjalne SDK. Nie dotykane przez aktywnych użytkowników od lata 2021.

Ale kontrakt wciąż działa.

A w tym kontrakcie prawdziwe aktywa wciąż spokojnie czekają na kogoś, kto będzie wystarczająco czujny, aby je znaleźć.

Co się stało?

Aby zrozumieć, dlaczego te pooli istnieją, musimy wrócić do przeszłości ekosystemu Solana.

Raydium buduje swoje AMM V3 na fundamencie Serum, on-chain order book, który wtedy był sercem DeFi Solana. Pięć pooli, które stały się ofiarą, to pary aktywów z tej ery: Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY i RAY-SOL.

Serum potem upadł. Raydium migruje. Wersja V4 i V5 rodzą się z wirtualnym supply i bardziej rygorystyczną weryfikacją kont.

Stary kod powinien być pogrzebany razem z Serum.

Ale nie zrobili tego.

Powód nie leży tylko w niedbalstwie, są rzeczywiste przeszkody techniczne. Smart kontrakty na blockchainie są niezmienne. Gdy program zostanie wdrożony, nie ma przycisku DELETE, który można by nacisnąć. Co zespół może zrobić, to aktywnie migrować płynność i dezaktywować program ID.

Wygląda na to, że ostatni krok (formalna dezaktywacja) został pominięty. Lub opóźniony. Lub założony, że nie jest potrzebny, bo "kto znajdzie te niewidoczne pooli?"

Ale w końcu ktoś to znalazł.

Precedens, który powinien być lekcją

Raydium nie jest nowym nazwiskiem na liście ofiar w DeFi.

Grudzień 2022. Zespół Raydium budzi się z złymi wiadomościami: około 4,4 miliona dolarów zniknęło w mgnieniu oka. Nie przez błąd w kodzie. Nie przez słabą walidację. Czysto przez kradzież klucza prywatnego. Ktoś uzyskał dostęp do klucza admina, a to wystarczyło, aby opróżnić aktywne pool.

Incydent był bolesny, ale czysty narracyjnie, z wyraźnym wrogiem, wyraźnym wektorem ataku i wyraźnym rozwiązaniem. Zespół zaostrza bezpieczeństwo operacyjne, migracja do nowego, już audytowanego kontraktu i idzie naprzód.

To, czego nie zrobili, to spojrzenie wstecz.

Stare, porzucone kontrakty wciąż powoli biją w blockchainie. Bez właściciela. Niepilnowane. Wypełnione zombie liquidity, które nigdy nie mogą być wypłacone przez oficjalny interfejs, ale wciąż mogą być dotykane przez każdego, kto zechce rozmawiać bezpośrednio z ich kontraktem.

Minęły trzy i pół roku. Nikt nie niepokoił. Żadnych alarmów.

Aż do 10 czerwca 2026.

Anatomia rabunku

Hakerzy nigdy nie ogłoszą publicznie, że zamierzają przeprowadzić atak. Wszystko odbywa się cicho, w milczeniu. Gdy wszyscy zorientują się, oni już zniknęli.

Znalezienie luki

Słabość leży w sposobie walidacji tokenów LP (Liquidity Provider) w legacy AMM V3.

Logika jest prosta, ale śmiertelna: stary program ufa dostawie tokenów LP, aby określić proporcje wypłaty. Jeśli posiadasz X% całkowitej dostawy LP, masz prawo wypłacić X% z płynności poolu.

Problem polega na tym, że program ten nie weryfikuje adresu mint dla tokenów LP.

Nie sprawdza, czy token LP, który przedstawiasz, rzeczywiście pochodzi z legalnego poolu. Po prostu patrzy na liczbę podaży.

To nie jest delikatna luka. To fundamentalne błędne założenie, luka logiczna, która ukrywa się za pięcioletnią ciszą.

Wykonanie

Kroki są brutalnie proste:

  • Utwórz nowy token SPL. Jakikolwiek token. Nie ma związku z Raydium, z poolami, z niczym.

  • Wydrukuj 1 jednostkę z tego fałszywego tokena. Tylko jedną. Całkowita podaż: 1.

  • Wezwij funkcję wypłaty w legacy AMM V3 z tym fałszywym tokenem jako "dowód własności LP".

  • Stary kontrakt liczy: napastnik posiada 1 z 1 tokena LP, który istnieje → własność 100%

  • Kontrakt uwalnia całą zawartość poolu.

Powtórz dla następnego poola. I następnego. I następnego.

Pięć pooli. Pięć iteracji tej samej techniki. Cały proces został zakończony w jednej sesji on-chain, którą każdy mógł śledzić, ale za późno, aby ją zatrzymać.

Zbiory

Z pięciu pooli, które zostały skradzione:

  1. Sollet USDT-RAY

  2. Sollet ETH-RAY

  3. SRM-RAY

  4. USDC-RAY

  5. RAY-SOL

Łącznie: 150.177 RAY, 5.603 SOL, 893.700 USDC.

1,34 miliona dolarów z kodu, który oficjalnie już nie istnieje.

Ślad ucieczki

Źródło: https://arkm.com/explorer/address/4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

Z KuCoin, z pozdrowieniami

Przed przeprowadzeniem ataku napastnik popełnił jeden błąd, który zapamiętają śledczy: sfinansowali swój portfel operacyjny przez KuCoin, centralną giełdę, która ma procedury KYC.

To klasyczna ironia w świecie eksploitacji DeFi. Budujesz atak, który wykorzystuje cechy permissionless blockchain, ale zaczynasz go od systemu, który rejestruje twoją tożsamość.

KuCoin wie, kto wpłacił te środki na początku.

Ścieżka ucieczki

Po zebraniu plonów na Solanie, napastnik szybko przemieszcza się w znajomy sposób:

PeckShield i badacz on-chain Specter śledzą te ruchy w czasie rzeczywistym.

810 ETH do Tornado Cash. Taki schemat to już standardowy podpis w działaniach prania pieniędzy po eksploitacji DeFi. To nie jest innowacja. To nie jest niespodzianka. Technicznie, Tornado Cash jest teraz łatwiej dostępne, po tym jak Departament Skarbu USA usunął je z listy sankcji w marcu 2025.

7 ETH do FixedFloat. Jako dodatkowa ścieżka, rozdzielająca ślad.

Pozostałe fundusze: zniknęły w hałasie Ethereum.

Paradoks KuCoin

Tu analiza staje się interesująca.

Pipeline KuCoin→Tornado Cash to nie nowa strategia. To standardowy szablon. Ale to właśnie stało się słabością napastnika. Ponieważ KuCoin jest punktem kontaktowym z systemem regulowanym, ich nagrania KYC stają się potencjalnym kotwiczeniem atrybucji dla śledczych. Pieniądze już trafiły do mieszalnika, ale tożsamość osoby, która wprowadziła początkowy kapitał, może już być zarejestrowana na serwerze KuCoin.

Czy to wystarczy? W każdej jurysdykcji, która chce współpracować, to umożliwia.

Reakcja Raydium

Raydium nie tracił czasu.

Pseudonimowy współpracownik @0xINFRA ogłasza to bezpośrednio w X w tym samym dniu. Pełne uznanie, szczere szczegóły techniczne i (co najważniejsze) brak prób zbagatelizowania incydentu.

Kluczowe punkty potwierdzone przez zespół:

  • To nie jest kompromitacja klucza. To nie jest atak na poziomie autorytetu. Czysta luka logiczna, która jest izolowana w kodzie legacy.

  • Nie ma ryzyka propagacji. Aktywne programy Raydium (CLMM i nowa wersja AMM) korzystają z różnych mechanizmów i nie są dotknięte.

  • Nie ma aktywnych użytkowników, którzy zostali dotknięci. Dosłownie żaden z regularnych użytkowników nie mógł dotknąć tych pooli przez oficjalny interfejs.

  • Pełna rekompensata z kasy. Całe 1,34 miliona dolarów zostanie zwrócone z protokołu. Żadne straty nie zostały poniesione przez aktywnych użytkowników.

  • Program ID AMM V3 Legacy jest w trakcie formalnej likwidacji, zamykając możliwość dalszego wywoływania tego kodu.

  • Całkowity przegląd bezpieczeństwa jest uruchamiany dla wszystkich ścieżek kodu mainnet i legacy.

Token RAY zareagował spokojnie. Wzrost o około 2% w ciągu 24 godzin po incydencie. Wydaje się, że rynek interpretuje przejrzystość Raydium jako sygnał wiarygodności, a nie paniki z powodu straty.

Jakie lekcje możemy wyciągnąć?

Jest oczywista lekcja techniczna: weryfikacja adresu mint w kontrakcie AMM to podstawowa sprawa. Weryfikacja, że token LP, który jest przedstawiany, rzeczywiście pochodzi z legalnego poolu, nie jest opcjonalną funkcją. To fundamentalna zasada logiki wypłaty płynności.

Ale głębsza lekcja nie dotyczy linii kodu.

To kwestia odpowiedzialności względem systemu, który kiedykolwiek zbudowałeś.

Krótka chronologia

  1. 2021 - Serum deprecated, Raydium migruje do AMM V4/V5. Pięć legacy pooli zostaje z aktywnym kodem i funduszami wewnątrz.

  2. Grudzień 2022 - Raydium zostaje wyeksploatowany na 4,4 miliona dolarów przez kradzież klucza prywatnego. Zespół zaostrza bezpieczeństwo operacyjne. Kod legacy pozostaje nietknięty.

  3. Marzec 2025 - Tornado Cash zostaje usunięty z listy sankcji OFAC/US Treasury.

  4. Przed 10 czerwca 2026 - Napastnik finansuje portfel operacyjny przez KuCoin (dane KYC zarejestrowane).

  5. 10 czerwca 2026 - Eksploitacja zostaje przeprowadzona. Pięć pooli jest opróżnianych jeden po drugim, używając fałszywych tokenów LP o dostawie 1 jednostki. Łącznie 1,34 miliona dolarów znika.

  6. 10 czerwca 2026 - PeckShield & Specter wykrywają i śledzą ruchy funduszy w czasie rzeczywistym.

  7. 10 czerwca 2026 - Fundusze są mostkowane z Solany do Ethereum. 810 ETH trafia do Tornado Cash. 7 ETH do FixedFloat.

  8. 10 czerwca 2026 - @0xINFRA ogłasza incydent w X. Raydium potwierdza pełną rekompensatę z kasy.

  9. 10 czerwca 2026 - Całkowity przegląd bezpieczeństwa uruchomiony. Program ID legacy w trakcie formalnej likwidacji.

Referencje:

https://www.cryptotimes.io/2026/06/10/old-code-new-damage-raydium-hit-by-1-34m-legacy-pool-hack/

https://cryptonews.com/news/raydium-exploit-fake-lp-tokens-deprecated-solana-pools/

https://cryptobriefing.com/raydium-exploit-legacy-amm-v3/

https://www.ccn.com/news/crypto/raydium-exploit-legacy-pools-solana/

https://blockonomi.com/raydium-legacy-amm-v3-exploited-for-1-34m-via-lp-mint-flaw/

https://twitter.com/PeckShieldAlert

https://twitter.com/0xINFRA

Napisano: 12 czerwca 2026

Na podstawie raportów on-chain i oficjalnych ujawnień Raydium

$RAY $SOL

RAY
RAY
0.635
+2.41%

#analysis #altcoins