Le 10 juin 2026, Raydium — l'un des plus grands exchanges décentralisés de Solana — a perdu environ 1,34 million de dollars après qu'un attaquant a drainé cinq pools de liquidité AMM V3 inactifs restés sans activité depuis 2021. La faille résidait entièrement dans du code obsolète : les pools actifs, le CLMM et les versions plus récentes de l'AMM de Raydium sont restés intacts, et aucun utilisateur actuel n'aurait pu atteindre les pools concernés via l'interface.
Ce qui s'est passé
Les pools exploités appartenaient au programme AMM V3 hérité de Raydium, que le protocole a abandonné après l'effondrement du carnet d'ordres on-chain de Serum. Les cinq pools touchés étaient Sollet USDT–RAY, Sollet ETH–RAY, SRM–RAY, USDC–RAY et RAY–SOL.
La cause racine était une validation insuffisante de l'adresse du mint LP dans le programme retiré. Comme le code hérité ne confirmait jamais que le token LP présenté était le véritable mint du pool, l'attaquant a créé un faux mint LP, l'a fait passer pour le vrai et a contourné les contrôles de proportion qui régissent le montant qu'un retirant peut prélever. Avec ces contrôles court-circuités, l'attaquant a retiré environ 150 177 RAY, 5 603 SOL et 893 700 USDC. Les programmes mainnet actuels de Raydium utilisent un mécanisme d'offre virtuelle et vérifient les mints LP avec les autres données de compte, ce qui empêche cette classe d'attaque.
Conséquences
- Raydium a déclaré qu'il couvrirait toutes les pertes avec sa trésorerie, de sorte que la liquidité affectée (depuis longtemps échouée dans des pools obsolètes) serait indemnisée plutôt qu'absorbée par les utilisateurs.
- Les enquêteurs on-chain PeckShield et Specter ont retracé l'attaquant : le portefeuille a d'abord été financé via KuCoin, puis a fait transiter les gains de Solana vers Ethereum.
- Depuis Ethereum, l'attaquant a déposé 810 ETH dans Tornado Cash et envoyé 7 ETH à FixedFloat, un schéma de blanchiment cohérent avec un acteur cherchant à briser la piste on-chain. Les fonds volés eux-mêmes n'ont pas été récupérés.
Pourquoi c'est important
L'exploit de Raydium est un exemple net d'un thème récurrent du catalogue : les contrats obsolètes restent une surface d'attaque vivante longtemps après leur abandon. La même dynamique a animé le bug du resolver 1inch, où un contrat hérité Fusion v1 a été le point d'entrée, ainsi que l'incident Aevo. Du code qui n'apparaît plus dans un front-end n'est pas la même chose que du code qui n'est plus exploitable — tant que le programme est déployé et détient de la valeur, un attaquant qui lit le code source peut encore l'appeler directement.
C'est aussi le deuxième incident catalogué de Raydium, après le cheval de Troie de clé admin de décembre 2022 qui avait drainé 4,4 M$ de ses pools. Les deux partagent peu sur le plan technique — l'un était une clé privée volée, celui-ci une faille de validation — mais ensemble ils soulignent combien de surface héritée s'accumule autour d'un DEX de longue date. La voie de blanchiment via Tornado Cash est désormais le scénario par défaut pour les exploiteurs de sommes inférieures à 10 M$, la même route empruntée après Cetus, et c'est pourquoi l'indemnisation par la trésorerie, et non la récupération on-chain, a été le seul remède réaliste ici.
Sources & preuves on-chain
- [01]ccn.comhttps://www.ccn.com/news/crypto/raydium-exploit-legacy-pools-solana/
- [02]crypto.newshttps://crypto.news/raydium-promises-full-refund-after-1-3m-solana-pool-exploit/
- [03]cryptonews.comhttps://cryptonews.com/news/raydium-exploit-fake-lp-tokens-deprecated-solana-pools/
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/06/10/old-code-new-damage-raydium-hit-by-1-34m-legacy-pool-hack/
- [05]99bitcoins.comhttps://99bitcoins.com/news/altcoins/raydium-dex-hack-134m-dormant-pools/