Le 16 décembre 2022, l'AMM Solana de premier plan Raydium a perdu environ 4,4 millions de dollars lorsqu'un attaquant a obtenu la clé privée admin du pool via un malware trojan sur la machine de l'admin. L'attaquant a ensuite utilisé des fonctions admin légitimes pour retirer les frais du protocole et manipuler les paramètres de pool en sa faveur.
Ce qui s'est passé
Les pools de liquidité de Raydium avaient une autorité admin capable d'opérations privilégiées : retrait des frais de trading accumulés, ajustement des paramètres de pool, et autres fonctions de maintenance. Cette autorité était contrôlée par une seule clé.
La compromission n'était pas un bug de contrat intelligent — la logique du programme Raydium fonctionnait comme conçu. L'attaquant :
- A compromis la machine de l'admin du pool avec un malware trojan qui a extrait la clé privée admin.
- A utilisé la clé admin pour appeler des fonctions privilégiées légitimes :
- Retrait des frais de trading accumulés depuis les pools directement vers les adresses de l'attaquant.
- Manipulation des paramètres de pool (
withdrawPNLet opérations admin associées) pour extraire de la valeur supplémentaire.
- Drainage d'environ 4,4 M$ sur plusieurs pools Raydium.
Parce que chaque transaction était signée par la clé admin légitime et appelait des fonctions légitimes, l'activité ressemblait superficiellement à la maintenance normale du protocole — jusqu'à ce que la sortie cumulée soit remarquée.
Conséquences
- Raydium a mis en pause les pools affectés et a permuté les autorités vers une configuration multi-sig + hardware wallet.
- L'équipe a proposé un plan de compensation utilisant le trésor du protocole et les rachats de RAY pour rendre les LP affectés entiers au fil du temps.
- Les fonds volés ont été pontés hors de Solana et blanchis.
Pourquoi c'est important
L'incident de Raydium est une compromission de clé admin via malware d'endpoint d'école — la même cause racine que EasyFi (2021), bZx novembre 2021, et bien d'autres. La leçon est cohérente et peu glamour : les clés admin uniques détenues sur des machines connectées à Internet sont le véritable modèle de sécurité, peu importe la qualité de conception du programme on-chain.
Les leçons structurelles :
-
Les clés privilégiées appartiennent à des hardware wallets derrière multi-sig. Raydium exploitait un AMM de premier plan avec une seule clé admin sur une machine pouvant être compromise par un malware générique. La migration post-incident vers multi-sig + signature hardware est la configuration qui aurait dû être en place avant.
-
L'abus de fonction légitime est plus difficile à détecter que les exploits. Parce que l'attaquant appelait de vraies fonctions admin avec de vraies signatures, l'activité ne déclenchait pas les heuristiques « ceci est un exploit » — elle ressemblait à de la maintenance. La détection d'anomalies sur les schémas d'appel de fonctions privilégiées (volume, fréquence, adresses de destination) est la couche défensive qui détecte cela ; Raydium ne l'avait pas réglée pour se déclencher.
-
Le modèle d'autorité admin de Solana concentre le risque. De nombreux programmes Solana utilisent une seule autorité de mise à niveau/admin par défaut. L'incident Raydium, aux côtés de la compromission beaucoup plus grande de Drift Protocol en 2026, illustre que la posture de sécurité opérationnelle de la DeFi Solana a été un point faible récurrent indépendant de la sécurité au niveau programme de la chaîne.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-raydium-hack-december-2022
- [02]defiteller.comhttps://defiteller.com/raydium-shares-more-details-on-its-recent-exploit
- [03]bitdegree.orghttps://www.bitdegree.org/crypto/news/decentralized-exchange-raydium-shares-additional-information-about-recent-hack