Le DEX décentralisé basé sur Solana Raydium a confirmé un exploit ciblant son programme AMM V3 historique, retirant environ 1,34 million de dollars d'actifs de pools de liquidité inactifs. L’attaque a touché les paires RAY-SOL, USDC-RAY et SRM-RAY, drainant approximativement 150 000 RAY, 5 600 SOL et près de 900 000 USDC. Raydium a attribué la vulnérabilité à une validation insuffisante des mints de LP dans le programme historique, qui avait été abandonné en 2021. Le protocole a indiqué que les programmes actuels sur le mainnet n’étaient pas affectés et s’est engagé à un remboursement intégral via sa trésorerie. L’incident souligne les risques de sécurité persistants liés à des smart contracts mis à la retraite qui restent en ligne même après que les protocoles ont cessé de fournir un support front-end.
Raydium identifie une validation insuffisante des mints de LP comme cause de l’exploit
Raydium a déclaré que la vulnérabilité provenait d’une validation insuffisante des mints de LP, permettant à l’attaquant de contourner les contrôles de proportion prévus. Le programme d’auto-market maker (automated market maker) ciblé avait été abandonné en 2021 et n’était plus accessible via l’interface de l’échange depuis lors. Le protocole a indiqué que son SDK et son DAPP ne prennent pas en charge les interactions sur le mainnet avec les pools AMM V3 historiques.
Les pools touchés incluaient les paires RAY-SOL, USDC-RAY et SRM-RAY. Les estimations initiales indiquaient que l’attaquant avait drainé environ 150 000 RAY, 5 600 SOL et près de 900 000 USDC. L’exploit n’a pas affecté les programmes actuels sur le mainnet de Raydium, selon le protocole. L’incident n’était pas lié à un trading via le front-end actif ni à l’infrastructure de liquidité actuelle. L’attaquant a ciblé des contrats de pool plus anciens qui restaient on-chain, même s’ils n’étaient plus pris en charge par l’interface utilisateur principale de Raydium.
Raydium s’engage à mobiliser des fonds de trésorerie pour un remboursement complet des utilisateurs
Raydium a déclaré que les utilisateurs concernés seront intégralement remboursés depuis sa trésorerie. La décision du protocole de compenser les utilisateurs touchés via sa trésorerie réduit le dommage financier immédiat pour les apporteurs de liquidité. Un remboursement intégral limite le risque qu’un exploit relativement limité ne devienne un problème de réputation plus important pour le protocole.
Le plan de remboursement traite la dépendance des échanges décentralisés envers la confiance des apporteurs de liquidité. La réponse de la trésorerie apporte une compensation aux utilisateurs dont les actifs ont été retirés des pools inactifs. L’engagement de Raydium de couvrir les pertes avec des fonds du protocole a été annoncé après la divulgation de l’exploit.
Le token RAY a augmenté après la divulgation de l’exploit
Le token natif RAY de Raydium a évolué à la hausse le jour de la divulgation de l’exploit. La réaction du marché semblait limitée, ce qui suggère que les investisseurs ne percevaient pas l’exploit comme une menace pour l’infrastructure de trading active du protocole. Cette réaction reflète probablement le périmètre limité de l’incident, la nature historique du programme touché et le plan de compensation adossé à la trésorerie.
Le montant des pertes, bien que significatif pour les utilisateurs touchés, était faible par rapport aux plus importants exploits DeFi, et a été rapidement accompagné par un engagement de remboursement intégral. Cette combinaison a aidé à éviter un choc plus large de confiance. Les utilisateurs ont été informés que les programmes actuels n’étaient pas affectés, que les interfaces officielles ne prenaient pas en charge les pools historiques, et que les fonds de la trésorerie couvriraient les pertes.
Raydium confirme que les programmes actuels sur le mainnet sont sous revue de sécurité
Raydium a indiqué que ses programmes actuels sur le mainnet font l’objet d’une revue de sécurité distincte. Cette étape donne au protocole l’occasion de séparer le risque lié aux éléments historiques de l’infrastructure en production et de rassurer les utilisateurs sur le fait que les marchés actifs ne sont pas exposés à la même vulnérabilité. Le protocole a déclaré que la revue de sécurité couvre les programmes actuellement utilisés sur son déploiement mainnet.
La distinction compte car l’incident n’était pas lié à un trading via le front-end actif ni à l’infrastructure de liquidité actuelle. Raydium a indiqué que le programme d’auto-market maker visé avait été abandonné en 2021. Le protocole a confirmé que son SDK et son DAPP ne prennent pas en charge les interactions sur le mainnet avec les pools AMM V3 historiques, ce qui limite l’exposition via les canaux officiels.
FAQ
Qu’est-ce qui a causé l’exploit Raydium qui a retiré des actifs d’une valeur de 1,34 million de dollars ?
Raydium a déclaré que la vulnérabilité provenait d’une validation insuffisante des mints de LP dans son programme AMM V3 historique, permettant à l’attaquant de contourner les contrôles de proportion prévus. Le programme d’auto-market maker ciblé avait été abandonné en 2021 et n’était plus accessible via l’interface de l’échange depuis lors.
Comment Raydium a-t-il répondu aux utilisateurs affectés par l’exploit du pool historique ?
Raydium s’est engagé à rembourser intégralement les utilisateurs affectés depuis sa trésorerie. Le protocole a indiqué que les utilisateurs dont les actifs ont été retirés des pools inactifs RAY-SOL, USDC-RAY et SRM-RAY seront intégralement compensés.
Pourquoi le token RAY a-t-il augmenté après la divulgation de l’exploit ?
La réaction du marché semblait limitée parce que l’exploit visait des pools inactifs liés à un ancien programme AMM plutôt que le système de trading actuel de Raydium. Les investisseurs ne percevaient pas l’exploit comme une menace pour l’infrastructure de trading active du protocole, compte tenu du périmètre limité, de la nature historique du programme touché et du plan de compensation adossé à la trésorerie.
