Raydium обязуется возместить убытки пользователей после того, как хакер вывел $1,34 млн из устаревших пулов

Хакер воспользовался уязвимостью в устаревшей программе AMM V3 платформы Raydium, похитив около 1,34 млн $ из пяти пулов ликвидности, выведенных из эксплуатации ещё в 2021 году. 

Команда Raydium подтвердила, что осведомлена о несанкционированном выводе ликвидности, и обязалась возместить убытки.

Атака была направлена на код, от которого децентрализованная биржа на базе Solana отказалась пять лет назад. 

По словам Infra, члена команды Raydium, ни один из действующих пользователей не пострадал, поскольку пулы уже несколько лет недоступны через интерфейс платформы. Infra также заявил, что «полная компенсация будет осуществлена из казначейства Raydium».

Как атакующему удалось эксплуатировать устаревшие пулы?

По словам Infra, «уязвимость была вызвана самодостаточным логическим изъяном, а не компрометацией ключей или проблемой на уровне прав доступа, поэтому риска распространения нет».

Исследователь безопасности Param сообщил в X, что атакующий обнаружил уязвимость в коде Raydium образца 2021 года. Он выявил пять заброшенных пулов ликвидности, на которых по-прежнему хранились средства, и сгенерировал поддельные подтверждения права собственности. 

Эти поддельные LP-токены обманули устаревший смарт-контракт, заставив его признать атакующего легитимным провайдером ликвидности, что позволило полностью вывести активы из пулов.

Блокчейн-компания по безопасности F12 подтвердила эти данные, отследив атаку он-чейн. Эксплойт был основан на сфабрикованном LP-токене с эмиссией всего в одну единицу. Когда атакующий подал запрос на вывод средств с использованием этого токена, старая программа освободила весь баланс пула.

Куда атакующий перевёл похищенные средства?

PeckShieldAlert сообщил, что кошелёк атакующего изначально был пополнен через KuCoin. После опустошения пулов в Solana похищенные средства были переброшены в блокчейн Ethereum через deBridge, что в итоге составило около 810 ETH. 

Затем атакующий внёс основную часть этих средств в Tornado Cash — миксер-протокол, часто используемый для сокрытия происхождения транзакций. После этого через FixedFloat было переведено 7 ETH, согласно анализу PeckShieldAlert.

По данным команды Raydium, адрес злоумышленника: 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.

Устаревший код, актуальный риск

Действующие программы Raydium по-прежнему активны, по словам Infra. Согласно данным DefiLlama, протокол удерживает 796,56 млн $ в общей заблокированной стоимости в Solana и за последние семь дней обработал более 1,1 млрд $ объёма торгов на DEX. 

Программа AMM V3, которая была взломана, не связана с пулами, используемыми в настоящее время.

Однако это не первый случай нарушения безопасности у Raydium. В декабре 2022 года протокол потерял 4,4 млн $ в результате компрометации приватного ключа.

Последний взлом пополняет то, что стало почти ежедневной сводкой о криптовалютных эксплойтах в 2026 году. 

Ранее Cryptopolitan сообщал, что CertiK зафиксировал 60 подтверждённых инцидентов безопасности только за май, суммарные потери составили 68,3 млн $ — наибольшее количество инцидентов за месяц в этом году. Уязвимости в коде обусловили более 45 млн $ из этих потерь.

За несколько дней до эксплойта Raydium атаки на Gnosis Pay и TesseraDAO обошлись проектам как минимум в 2,5 млн $, а уязвимость Flooring Protocol распространилась на его форк Asterisk через общий код.

По состоянию на конец мая совокупные потери в результате криптовалютных эксплойтов в 2026 году приблизились к 1,3 млрд $. Только атаки, связанные с мостами, по данным PeckShield, составляют 340,7 млн $ от этой суммы.

Команда Raydium заявила, что её ключевые участники проводят проверку безопасности всех программ основной сети.

Хотя руководство обещает компенсировать пострадавшим провайдерам ликвидности понесённые убытки, Raydium не раскрыл точные сроки и механизм возмещения.

Самые проницательные умы в криптовалютном мире уже читают нашу рассылку. Хотите присоединиться? Подпишитесь.