Le programme AMM V3 legacy de Raydium a été exploité pour environ 1,34 million de dollars, après qu’un attaquant a abusé d’une faille de validation de création (mint) d’un fournisseur de liquidité dans des pools Solana obsolètes. L’équipe Raydium a déclaré que le problème était isolé à un ancien contrat AMM V3, mis hors service en 2021, et qu’il n’avait aucune incidence sur les programmes de liquidité actuels de la plateforme ni sur les utilisateurs actifs. L’exploit a vidé cinq pools de liquidité obsolètes liés au programme legacy, la cause première ayant été identifiée comme une faille de validation autonome impliquant des vérifications de mint de LP (fournisseur de liquidité) qui permettaient à l’attaquant de manipuler la logique du pool en utilisant des conditions de tokens LP invalides ou fictives. L’incident s’ajoute à la liste grandissante des défaillances d’infrastructures d’échanges décentralisés et soulève des questions sur la manière dont les protocoles DeFi gèrent les contrats mis à la retraite et la liquidité résiduelle.
Attaquant exploite une faille de validation de mint de LP dans cinq pools obsolètes
D’après Infra, contributeur principal de Raydium, la cause première était une faille de validation autonome impliquant des vérifications de mint de LP. L’attaquant a pu manipuler la logique du pool en utilisant des conditions de tokens LP invalides ou fictives, permettant de retirer des fonds de pools qui ne devaient plus comporter de risque significatif pour les utilisateurs. L’exploit a vidé cinq pools de liquidité obsolètes liés au programme legacy.
Le programme AMM V3 concerné avait été remplacé des années plus tôt, mais les pools restants détenaient encore suffisamment d’actifs pour rendre l’exploitation rentable. L’attaquant n’avait pas besoin de compromettre les produits actuels de Raydium. Au lieu de cela, l’exploit a ciblé une faiblesse de validation étroite dans une conception de liquidité plus ancienne.
Raydium s’engage à compenser les pertes via sa trésorerie
Raydium a indiqué qu’il indemnisera les pertes subies par ses utilisateurs via sa trésorerie. L’équipe a précisé que les utilisateurs actuels de Raydium n’étaient pas affectés, ce qui limite le risque de contagion immédiat à travers la finance décentralisée sur Solana. La réponse est importante car l’exploit concernait une infrastructure obsolète plutôt que des pools actuels visibles par les utilisateurs, mais la perte soulève tout de même des questions sur la façon dont les protocoles décentralisés gèrent les contrats mis à la retraite, la liquidité résiduelle et l’exposition de long terme des contrats intelligents.
Des sociétés de sécurité blockchain ont suivi les mouvements de l’attaquant après le siphonnage, et les fonds auraient été acheminés via KuCoin, un pont Solana vers Ethereum, Tornado Cash et FixedFloat. Cette chaîne de blanchiment montre à quelle vitesse même des exploits DeFi relativement modestes peuvent devenir difficiles à récupérer une fois les actifs déplacés à travers des échanges centralisés, des ponts et des outils de confidentialité.
Les contrats legacy présentent un risque de sécurité persistant dans la DeFi
L’incident met en évidence un problème récurrent en finance décentralisée : de vieux contrats peuvent rester financièrement pertinents même après que de nouveaux systèmes les ont remplacés. Les protocoles déprécient souvent des versions antérieures, mais ne peuvent pas facilement effacer des contrats intelligents déployés depuis des blockchains publiques. Si des utilisateurs, des bots ou une liquidité oubliée restent connectés à ces programmes, une infrastructure en sommeil peut devenir une surface d’attaque des années après que le développement actif ait bougé ailleurs.
Pour les protocoles DeFi, la dépréciation n’est donc pas seulement une tâche de gestion produit. C’est un processus de sécurité. Les équipes doivent identifier les pools inactifs, avertir les utilisateurs, supprimer l’accès via l’interface, surveiller les soldes résiduels et créer des parcours de migration clairs. Dans la mesure du possible, elles peuvent aussi avoir besoin de contrôles d’urgence ou d’incitations pour drainer les pools obsolètes avant qu’ils ne deviennent des cibles.
L’implication plus large pour le marché est que le risque de sécurité en DeFi n’est pas limité aux contrats nouvellement lancés. Les protocoles matures portent un code historique, des structures de liquidité anciennes et des intégrations legacy qui peuvent ne pas bénéficier du même niveau de surveillance que les systèmes actuels. À mesure que la DeFi devient plus institutionnelle, auditeurs et investisseurs demanderont de plus en plus si les protocoles disposent de processus formels de cycle de vie pour retirer les contrats en toute sécurité.
FAQ
Qu’est-ce qui a causé l’exploitation du Raydium legacy AMM V3 ?
L’exploit a été causé par une faille de validation de création (mint) d’un fournisseur de liquidité dans des pools Solana obsolètes. L’attaquant a manipulé la logique du pool en utilisant des conditions de tokens LP invalides ou fictives, permettant de retirer des fonds de cinq pools de liquidité obsolètes liés au programme legacy AMM V3, qui avait été mis hors service en 2021.
Comment Raydium a-t-il réagi à l’exploit de 1,34 million de dollars ?
Raydium a indiqué qu’il indemnisera les pertes subies par ses utilisateurs via sa trésorerie. L’équipe a confirmé que le problème était isolé à un ancien contrat AMM V3 et qu’il n’affectait pas les programmes de liquidité actuels de la plateforme ni les utilisateurs actifs, limitant ainsi le risque de contagion immédiat à travers la finance décentralisée sur Solana.
