Raydium s'engage à couvrir les pertes des utilisateurs après qu'un hacker a drainé 1,34 M$ de pools dépréciés

Un hacker a exploité une vulnérabilité dans le programme AMM V3 hérité de Raydium, vidant environ 1,34 million de dollars de cinq pools de liquidité qui avaient été dépréciés depuis 2021. 

L'équipe Raydium a confirmé qu'elle était au courant du retrait de liquidité non autorisé et s'est engagée à couvrir les pertes.

L'attaque ciblait du code que l'exchange décentralisé basé sur Solana avait abandonné il y a cinq ans. 

Selon Infra, un membre de l'équipe Raydium, aucun utilisateur actuel n'a été affecté car les pools étaient inaccessibles via l'interface de la plateforme depuis des années. Infra a également déclaré que « la compensation complète sera prise en charge par la trésorerie de Raydium. »

Comment l'attaquant a-t-il pu exploiter les pools dépréciés ?

Selon Infra, « la vulnérabilité était causée par une faille logique autonome, et non par une compromission de clé ou un problème de niveau d'autorité, il n'y a donc aucun risque de propagation. »

Le chercheur en sécurité Param a déclaré sur X que l'attaquant avait trouvé une faille dans le code de Raydium datant de 2021. L'attaquant a identifié cinq pools de liquidité abandonnés contenant encore des fonds et a généré de faux reçus de propriété. 

Ces faux tokens LP ont trompé l'ancien smart contract en traitant l'attaquant comme un Fournisseur de liquidité légitime, permettant un retrait complet des actifs du pool.

La société de sécurité blockchain F12 a corroboré les soumissions en traçant l'attaque on-chain. L'exploit reposait sur un token LP fabriqué avec une offre d'une seule unité. Lorsque l'attaquant a soumis un retrait en utilisant ce token, l'ancien programme a libéré la totalité du solde du pool.

Où l'attaquant a-t-il transféré les fonds volés ?

PeckShieldAlert a rapporté que le portefeuille de l'attaquant avait été initialement approvisionné via KuCoin. Après avoir vidé les pools sur Solana, ils ont transféré les fonds volés vers Ethereum via deBridge, obtenant environ 810 ETH. 

L'attaquant a ensuite déposé la majeure partie de ce butin dans Tornado Cash, le protocole de mixage fréquemment utilisé pour masquer l'origine des transactions. Ils ont ensuite déplacé 7 ETH via FixedFloat, selon l'analyse de PeckShieldAlert.

Selon l'équipe Raydium, l'adresse de l'exploiteur est 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.

Code hérité, risque actuel

Les programmes actuels de Raydium sont toujours actifs, selon Infra. Le protocole détient 796,56 millions de dollars en valeur totale verrouillée sur Solana et a traité plus de 1,1 milliard de dollars en volume DEX au cours des sept derniers jours, selon les données de DefiLlama. 

Le programme AMM V3 qui a été exploité est distinct des pools actuellement en utilisation.

Cependant, ce n'est pas la première fois que Raydium a subi une violation de sécurité. En décembre 2022, le protocole a perdu 4,4 millions de dollars suite à une compromission de clé privée.

La dernière violation s'ajoute à ce qui est devenu un bilan quasi-quotidien des exploits crypto en 2026. 

Cryptopolitan a précédemment rapporté que CertiK a enregistré 60 incidents de sécurité confirmés au seul mois de mai, totalisant 68,3 millions de dollars en pertes brutes, le nombre mensuel d'incidents le plus élevé de l'année. Les vulnérabilités de code ont représenté plus de 45 millions de dollars de ces pertes.

Quelques jours avant l'exploit de Raydium, les attaques contre Gnosis Pay et TesseraDAO ont coûté aux projets au moins 2,5 millions de dollars, et la vulnérabilité du Flooring Protocol s'est propagée à son fork, Asterisk, via du code partagé.

À la fin du mois de mai, les pertes cumulées résultant des exploits crypto en 2026 approchaient 1,3 milliard de dollars. Les attaques liées aux bridges représentent à elles seules 340,7 millions de dollars de ce chiffre, selon PeckShield.

L'équipe Raydium a déclaré que ses principaux contributeurs effectuent une revue de la sécurité sur tous leurs programmes mainnet.

Bien que la direction affirme qu'elle compensera les Fournisseurs de liquidité affectés, Raydium n'a pas précisé exactement comment et quand ils seront remboursés.

Les esprits crypto les plus brillants lisent déjà notre newsletter. Vous voulez en faire partie ? Rejoignez-les.