Raydium perd 1,34 million de dollars alors qu’un attaquant vide trois pools de tokens sur Solana

Raydium a été touché. La bourse décentralisée basée sur Solana a perdu 1,34 million de dollars après qu’un attaquant a exploité une faille enfouie dans un programme que la plateforme avait déjà retiré il y a des années.

La brèche a extrait 150 000 tokens RAY, environ 5 600 SOL et près de 900 000 USDC de trois pools de liquidité — RAY-SOL, USDC-RAY et SRM-RAY. Raydium a retracé les dommages jusqu’à son ancien programme AMM V3, que la bourse avait éliminé en 2021. Le problème principal était une validation inadéquate des mints des fournisseurs de liquidité dans ce code hérité. En gros, l’attaquant a trouvé un moyen de générer une nouvelle adresse de mint que le système acceptait comme un token LP légitime, ce qui lui a permis de contourner les vérifications destinées à contrôler comment les actifs se déplacent à travers les pools de Raydium. C’est le genre de faille qui a probablement été dormante pendant des années sans que personne ne le remarque, en partie parce que le programme était déjà invisible pour les utilisateurs — on ne peut même pas y accéder via l’interface actuelle de Raydium.

Non accessible. Non maintenu. Mais toujours dangereux, apparemment.

Comment l’attaquant a déplacé l’argent

PeckShield a suivi ce qui est arrivé aux fonds volés après le siphonage. L’attaquant n’est pas resté immobile. Les actifs ont d’abord transité par KuCoin, puis ont été transférés de Solana à Ethereum — un passage inter-chaînes assez courant lorsque quelqu’un essaie de mettre de la distance entre lui et le vol initial. Une fois sur Ethereum, la piste se divise : 810 ETH sont allés dans Tornado Cash, et 7 ETH supplémentaires ont atterri chez FixedFloat. Les deux plateformes sont connues pour rendre les flux de fonds difficiles à suivre. Tornado Cash en particulier est devenu un incontournable pour obscurcir l’historique des transactions, ce qui explique pourquoi il a attiré tant d’attention réglementaire ces dernières années. L’utilisation par l’attaquant d’un pont inter-chaînes en plus d’un mixeur rend le traçage complet de ces fonds un défi sérieux pour quiconque essaie de les récupérer.

Aucun plan de récupération public de Raydium jusqu’à présent. On ne sait pas si un plan est en cours.

Le schéma plus large ici n’est pas nouveau. Les exploits DeFi qui ciblent du code hérité ou retiré ont déjà été observés sur plusieurs chaînes. Les anciens programmes ne sont pas toujours proprement désactivés — parfois ils persistent en arrière-plan, techniquement vivants sur la chaîne même si aucune interface frontale n’y pointe plus. Cet écart entre « retiré de l’interface » et « réellement supprimé de la chaîne » est exactement le genre de chose que les attaquants recherchent. C’est un territoire flou, et c’est probablement plus courant que la plupart des protocoles ne voudraient l’admettre.

Lire aussi : Ethereum coincé sous 1,9K $ alors que le cluster Fibonacci bloque toute réelle récupération

Lecture connexe: Ethereum bloqué sous 1,9K$ alors quun cluster Fibonacci empêche toute réelle reprise

Programmes actifs de Raydium et examens en cours

Raydium a rapidement déclaré que ses programmes actifs n’ont pas été touchés. La bourse a informé les utilisateurs que les systèmes mainnet actuels sont sécurisés et que les contributeurs principaux effectuent des examens de sécurité sur tous les programmes en cours. C’est la bonne démarche après quelque chose comme ça — même si l’exploit venait de code obsolète, on voudrait savoir si des lacunes similaires en matière de validation existent ailleurs dans la pile.

Et la question de la validation des mints LP mérite d’être examinée. Si l’attaquant a pu créer un faux mint qui passait pour un token LP légitime dans l’ancien programme V3, la question devient de savoir si une logique analogue existe dans le nouveau code. Raydium n’a pas dit. Les examens sont en cours, et aucun calendrier n’a été donné pour leur achèvement.

Les détenteurs de tokens RAY surveillent probablement de près. Perdre 150 000 RAY des pools n’est pas une quantité négligeable, et même si les systèmes actifs vont bien, l’image d’une perte de 1,34 million de dollars d’un protocole auquel les gens font confiance pour la liquidité est difficile à effacer rapidement. La confiance dans un DEX dépend fortement de la manière dont il gère des moments comme celui-ci — à la fois la rapidité de la réponse et l’honnêteté de la communication.

Raydium a réagi rapidement au niveau de la communication, au moins. La bourse a identifié la brèche, nommé la source, et précisé que la faille se trouvait dans une infrastructure retirée plutôt que dans quelque chose de actuellement en cours. Cette transparence est importante dans DeFi, où les rumeurs peuvent se déplacer plus vite que les faits et où une déclaration vague peut déclencher une panique plus grande que l’exploit lui-même.

En relation : Piratage de 36 millions de dollars des protocoles Humanity draine 341 millions de tokens H sur deux chaînes

Voir aussi: Le piratage de 36 millions de dollars de Humanity Protocol vide 341 millions de jetons H sur deux chaînes

Ce qu’elle n’a pas fait — du moins pas publiquement — c’est dire quoi que ce soit sur la récupération des fonds volés. Avec 810 ETH déjà dans Tornado Cash, la récupération semble peu probable à court terme. Cela n’est pas unique à Raydium ; la plupart des exploits DeFi qui atteignent un mixeur finissent par être une perte pour le protocole affecté ou ses utilisateurs.

L’attaquant a transféré les actifs sur deux chaînes, les a passés par un mixeur, et a divisé la piste. Les examens de sécurité de Raydium sur les programmes mainnet sont toujours en cours.

Hub : Prix, actualités et analyses de l’USDC

Hub: USDC : prix, actualités et analyse