10 июня 2026

Устаревший не значит безопасный.

Забытый не значит мертвый.

И в блокчейне ничего не похоронено навсегда.

Дана Янг Хиланг:

Адрес атакующего:

4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

$RAY

Пул, которого нет на картах

Представьте себе старый сейф на нижнем этаже банка.

Этот банк уже переехал в новое здание с 2021 года. Новый холл более современный, системы проходят аудит, персонал обучен. Но ключ от старого сейфа, как ни странно ... так и не был изъят. А внутри сейфа по-прежнему есть деньги.

Вот что произошло с Raydium.

Пять пулов ликвидности в программе AMM V3 Legacy оставались активными в сети Solana почти пять лет после того, как протокол официально объявил их устаревшими. Не видно в UI. Невозможно достичь через официальный SDK. Не тронуты активными пользователями с лета 2021 года.

Но контракт все еще активен.

И внутри этого контракта реальные активы по-прежнему тихо ждут кого-то, кто будет достаточно внимателен, чтобы их найти.

Что произошло?

Чтобы понять, почему эти пулы существуют, нужно вернуться в прошлое экосистемы Solana.

Raydium построил свою AMM V3 на основе Serum, on-chain order book, который тогда был сердцем DeFi Solana. Пять пулов, которые в конечном итоге стали жертвами, являются парами активов из той эпохи: Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY и RAY-SOL.

Затем Serum рухнул. Raydium мигрировал. Версии V4 и V5 родились с виртуальным предложением и более строгой проверкой аккаунтов.

Старый код должен был быть похоронен вместе с Serum.

Но они этого не сделали.

Причина не в простом небрежности, есть реальные технические барьеры. Умные контракты в блокчейне являются неизменными. Как только программа развернута, нет кнопки DELETE, которую можно было бы нажать. Все, что может сделать команда, это активно мигрировать ликвидность и отключить программу ID.

Кажется, последний шаг (формальное отключение) был пропущен. Или отложен. Или считается ненужным, потому что "кто найдет эти невидимые пулы?"

Но в конце концов кто-то это нашел.

Прецедент, который должен был стать уроком

Raydium не новое имя в списке жертв в DeFi.

Декабрь 2022 года. Команда Raydium проснулась с плохими новостями: около $4,4 миллиона пропало в одно мгновение. Не из-за ошибки в коде. Не из-за слабой валидации. Чисто потому что приватный ключ был украден. Кто-то получил доступ к админскому ключу, и этого было достаточно, чтобы опустошить активные пулы.

Инцидент был болезненным, но чистым с точки зрения нарратива, ясный враг, ясный вектор атаки, ясное решение. Команда усиливает операционную безопасность, мигрирует на новые контракты, которые были проверены, и движется вперед.

Что они не сделали, так это посмотреть назад.

Старые контракты, оставленные без внимания, продолжают медленно тикать в блокчейне. Без хозяев. Без охраны. Наполнены зомби ликвидностью, которую невозможно будет вывести через официальный интерфейс, но все еще доступна любому, кто хочет напрямую взаимодействовать с контрактом.

Три с половиной года прошло. Никто не тревожил. Никакой тревоги.

До 10 июня 2026 года.

Анатомия ограбления

Хакеры никогда не объявляют публично, что собираются взломать. Все происходит тихо, без лишнего шума. Когда все осознают, они уже ушли.

Найти дыру

Уязвимость заключалась в том, как наследие AMM V3 проверяло токены LP (Liquidity Provider).

Логика проста, но фатальна: старая программа доверяет поставке токенов LP для определения пропорции вывода. Если у вас есть X% от общего предложения LP, вы имеете право вывести X% ликвидности пула.

Проблема: программа не проверяла mint адрес токена LP.

Он не проверял, действительно ли предоставленный вами токен LP поступает из легитимного пула. Он просто смотрел на цифры предложения.

Это не тонкая дыра. Это фундаментальное предположение неверно, логическая ошибка, скрывающаяся за пятью годами тишины.

Исполнение

Шаги банально просты:

  • Создайте новый токен SPL. Любой токен. Никакого отношения к Raydium, к пулу, ни к чему.

  • Напечатайте 1 единицу этого поддельного токена. Только одну. Общее предложение: 1.

  • Вызовите функцию вывода на старом AMM V3 с этим поддельным токеном в качестве "доказательства владения LP".

  • Старый контракт считает: нападающий владеет 1 из 1 существующего токена LP → владение 100%

  • Контракт освобождает все содержимое пула.

Повторите для следующего пула. И следующего. И следующего.

Пять пулов. Пять итераций одной и той же техники. Весь процесс завершен за одну сессию on-chain, которую может отследить любой, но слишком поздно, чтобы остановить.

Урожай

Из пяти истощенных пулов:

  1. Sollet USDT-RAY

  2. Sollet ETH-RAY

  3. SRM-RAY

  4. USDC-RAY

  5. RAY-SOL

Всего: 150.177 RAY, 5.603 SOL, 893.700 USDC.

$1,34 миллиона из кода, который официально больше не существует.

Следы побега

Источник: https://arkm.com/explorer/address/4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk

От KuCoin, с приветствием

Перед тем как начать атаку, нападающий совершает одну ошибку, которую запомнят следователи: они финансируют свой операционный кошелек через KuCoin, централизованную биржу с процедурами KYC.

Это классическая ирония в мире эксплуатации DeFi. Вы строите атаку, использующую свойства разрешительной блокчейн-технологии, но начинаете с системы, которая фиксирует вашу личность.

KuCoin знает, кто внес эти первоначальные средства.

Маршрут побега

После того как они собрали урожай в Solana, нападающий быстро перемещается знакомым маршрутом:

PeckShield и исследователь on-chain Specter отслеживают эти перемещения в реальном времени.

810 ETH в Tornado Cash. Эта схема стала стандартной подписью в действиях по отмыванию денег после взлома DeFi. Никакой инновации. Никаких сюрпризов. И, технически, Tornado Cash стал легче доступен, после того как Министерство финансов США исключило его из списка санкций в марте 2025 года.

7 ETH в FixedFloat. В качестве дополнительного маршрута, разбивая след.

Оставшиеся средства: пропали в шуме Ethereum.

Парадокс KuCoin

Вот где анализ становится интересным.

Маршрут KuCoin→Tornado Cash не новая стратегия. Это стандартный шаблон. Но это стало слабостью нападающего. Поскольку KuCoin является точкой контакта с регулируемой системой, записи KYC становятся потенциальным якорем атрибуции для следователей. Деньги уже вошли в миксер, но личность человека, который внес первоначальный капитал, возможно, уже была зафиксирована на сервере KuCoin.

Достаточно ли этого? В любой юрисдикции, которая готова сотрудничать, это возможно.

Ответ Raydium

Raydium не тянул время.

Псевдонимный участник @0xINFRA сразу же объявил в X в тот же день. Полное признание, честные технические детали и (что наиболее важно) отсутствие попыток приуменьшить инцидент.

Ключевые моменты, подтвержденные командой:

  • Это не компрометация ключа. Это не атака на уровне авторитета. Чисто логическая ошибка, изолированная в коде наследия.

  • Нет риска распространения. Активные программы Raydium (CLMM и новая версия AMM) используют другие механизмы и не подвержены воздействию.

  • Нет активных пользователей, которых это затронуло. Буквально ни один из обычных пользователей не мог коснуться этих пулов через официальный интерфейс.

  • Полная компенсация из казны. Все $1,34 миллиона будет возмещено из казны протокола. Нет потерь, которые были бы социальными для активных пользователей.

  • Программа ID AMM V3 Legacy находится в процессе формального завершения, что закрывает возможность дальнейших вызовов к этому коду.

  • Полный обзор безопасности запускается для всех путей кода mainnet и наследия.

Токен RAY реагирует спокойно. Вырос примерно на 2% в течение 24 часов после инцидента. Кажется, рынок предпочел воспринимать прозрачность Raydium как сигнал доверия, а не паники из-за размера потерь.

Какой урок мы можем извлечь?

Есть очевидный технический урок: валидация mint адреса в контракте AMM является базовым требованием. Проверка того, что предоставленный токен LP действительно поступает из легитимного пула, не является опциональной функцией. Это фундаментальное предположение логики вывода ликвидности.

Но более глубокий урок не о строках кода.

Это о ответственности за систему, которую вы когда-либо строили.

Краткая хронология

  1. 2021 - Serum устарел, Raydium мигрирует на AMM V4/V5. Пять старых пулов были оставлены с активным кодом и средствами внутри.

  2. Декабрь 2022 года - Raydium был взломан на $4,4 миллиона из-за кражи приватного ключа. Команда усиливает операционную безопасность. Код наследия остается нетронутым.

  3. Март 2025 года - Tornado Cash исключен из списка санкций OFAC/Министерства финансов США.

  4. До 10 июня 2026 года - Нападающий финансирует операционный кошелек через KuCoin (данные KYC зафиксированы).

  5. 10 июня 2026 года - Эксплуатация была выполнена. Пять пулов были опустошены один за другим с использованием поддельных токенов LP с поставкой 1 единицы. В общей сложности $1,34 миллиона пропало.

  6. 10 июня 2026 года - PeckShield & Specter обнаруживают и отслеживают движение средств в реальном времени.

  7. 10 июня 2026 года - Средства были переброшены из Solana в Ethereum. 810 ETH вошли в Tornado Cash. 7 ETH в FixedFloat.

  8. 10 июня 2026 года - @0xINFRA объявляет о инциденте в X. Raydium подтверждает полное возмещение из казны.

  9. 10 июня 2026 года - Полный обзор безопасности запущен. Программа ID наследия находится в процессе формального завершения.

Ссылка:

https://www.cryptotimes.io/2026/06/10/old-code-new-damage-raydium-hit-by-1-34m-legacy-pool-hack/

https://cryptonews.com/news/raydium-exploit-fake-lp-tokens-deprecated-solana-pools/

https://cryptobriefing.com/raydium-exploit-legacy-amm-v3/

https://www.ccn.com/news/crypto/raydium-exploit-legacy-pools-solana/

https://blockonomi.com/raydium-legacy-amm-v3-exploited-for-1-34m-via-lp-mint-flaw/

https://twitter.com/PeckShieldAlert

https://twitter.com/0xINFRA

Написано: 12 июня 2026 года

Согласно отчету on-chain и официальным раскрытиям Raydium

$RAY $SOL

RAY
RAY
--
--

#analysis #altcoins