Points clés :
Raydium, l'un des plus grands échanges décentralisés de Solana, a perdu environ 1,34 million $ le 10 juin après qu'un attaquant a exploité une faille dans son programme AMM V3 hérité, vidant cinq pools de liquidité inactifs depuis 2021.
"L'exploit était limité à un programme retiré qui n'était plus accessible via l'interface de Raydium," a posté sur X le contributeur pseudonyme 0xInfra. "Aucun utilisateur actuel de Raydium n'est affecté par cet exploit."
L'attaque a ciblé cinq pools dormants — Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY et RAY-SOL — tous liés à l'ère Serum sur Solana. L'attaquant a retiré environ 150 177 RAY, 5 603 SOL et 893 700 USDC, d'une valeur respective d'environ 900 000 $, 357 000 $ et 86 000 $, selon 0xInfra. L'adresse Solana de l'exploiteur se termine par Bq33QVk.
L'ancien programme n'a pas réussi à vérifier si le mint du jeton LP était légitime, permettant à l'attaquant de créer un faux mint et de contourner les contrôles de proportion régissant les retraits. Raydium a indiqué que ses programmes actuels sur le mainnet évitent ce bogue grâce à un mécanisme d'offre virtuelle et une vérification plus stricte du mint des LP. L'échange a ajouté que ses programmes en direct font l'objet d'un examen de sécurité distinct.
PeckShield et l'enquêteur on-chain Specter ont retracé le financement initial de l'attaquant jusqu'à KuCoin. Les fonds volés ont été pontés de Solana vers Ethereum et déposés dans Tornado Cash, un mélangeur de cryptomonnaies qui obscurcit la trace on-chain.
RAY s'échangeait en hausse de plus de 2 % sur la journée à 0,578 $, bien qu'il reste en baisse d'environ 7 % sur la semaine et de 96,6 % sous son sommet historique de 16,83 $. Les pools de liquidité concentrée et les versions plus récentes d'AMM de Raydium n'avaient aucune exposition, limitant la perte totale à 1,34 million $.
Cet incident met en évidence un risque structurel unique aux blockchains publiques : les contrats intelligents obsolètes restent actifs sur la chaîne même après avoir été retirés de l'interface d'un protocole, laissant les fonds dormants exposés à des vulnérabilités dans le code retiré. Raydium a déclaré qu'il indemnisera les utilisateurs impactés à partir de son trésor.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
