Raydium, uno de los intercambios descentralizados más grandes de Solana, reveló una explotación en su programa heredado de Market Maker Automatizado V3 que drenó aproximadamente $1,34 millones de cinco piscinas de liquidez obsoletas. El ataque objetó piscinas que habían sido retiradas en 2021, lo que significa que no se afectaron usuarios activos ni interfaces actuales de Raydium.
¿Qué se llevó y cómo
Los activos drenados incluyeron aproximadamente 150.177 tokens RAY, 5.603 tokens SOL y alrededor de 893.700 USDC. Los cinco pools afectados fueron Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY y RAY-SOL, todos los cuales habían sido descontinuados tras el cierre del protocolo Serum en 2021.
La causa raíz fue una falla lógica autocontenida en el proceso de validación de la emisión de proveedores de liquidez. El atacante creó una emisión fraudulenta de LP y la utilizó para omitir los controles de seguridad que debían haber bloqueado el retiro. Los pools ya no estaban admitidos dentro del kit de desarrollo principal de Raydium ni en su interfaz de aplicación descentralizada, pero los contratos inteligentes mismos seguían activos en la cadena con activos reales bloqueados dentro.
Siguiendo el dinero
La billetera del atacante se rastreó hasta KuCoin, el exchange centralizado, lo que sugiere que allí se originó la financiación inicial del exploit. Después del saqueo, aproximadamente 810 ETH se canalizaron a través de Tornado Cash, el mezclador de ethereum enfocado en la privacidad.
La respuesta de Raydium y la imagen más grande
Raydium actuó rápidamente para confirmar que compensaría los activos perdidos directamente desde su tesorería. El exchange también anunció una revisión de seguridad integral de todos sus programas en mainnet.
La transición de Raydium alejándose de estos pools más antiguos fue impulsada por la descontinuación de Serum, el protocolo de libro de órdenes en cadena que alguna vez fue central para el ecosistema DeFi de Solana. Raydium ha migrado desde entonces a versiones más recientes del programa, incluyendo V4 y V5, que utilizan mecanismos de suministro virtual junto con protocolos de verificación de cuenta más estrictos. Pero los contratos antiguos aparentemente no se cerraron por completo.
Los pools actuales de Raydium, su CLMM (Market Maker de Liquidez Concentrada) y las versiones más recientes de AMM, no se vieron afectados. El respaldo de la tesorería significa que nadie que tuviera fondos residuales en los pools obsoletos debería haber sufrido pérdidas.
Las autoridades de EE. UU. sancionaron Tornado Cash en 2022, y su uso continuo en el blanqueo de explotaciones proporciona a los reguladores argumentos para abogar por una supervisión más estricta de los protocolos DeFi.