Sinusubaybayan ni Raydium ang $1.34M na exploit sa nakalipas na AMM V3 code

Isang araw pa, isang exploit pa.

Noong ika-10 ng Hunyo, natuklasan ng Solana-based na decentralized exchange [DEX] na Raydium ang isang coding flaw sa kanyang legacy AMM V3 program. Ang vulnerability ay nagbigay-daan sa isang attacker na i-drain ang mga pondo mula sa ilang deprecated liquidity pools.

Sa background, ang AMM V3 ay isang programa na ipinagpapalit ni Raydium noong 2021 at hindi na available sa SDK, user interface, o kasalukuyang dApp.Sa pamamagitan ng pagpapakilala ng isang kamalian, kinuha ng isang attacker ang halos $1.34 milyon sa cryptocurrency mula sa limang pools.

Ayon sa mga pansimulang pagtataya, inabuso ng attacker ang halos 150,177 Raydium [RAY], 5,603 Solana [SOL], at halos 893,700 na USDC mula sa mga naimpluwensyahan na pool.

Kasama rito ang mga pares na RAY-SOL, USDC-RAY, at SRM-RAY, Sollet USDT-RAY, at Sollet ETH-RAY. Sinunod din ni PeckShield ang pitong Ethereum [ETH] na inidagdag sa FixedFloat at 810 ETH sa Tornado Cash.

Gayunpaman, upang mapanatili ang kumpiyansa ng komunidad, ginamit ni Raydium ang X at tandaan,

Walang kasalukuyang gumagamit ng Raydium na naapektuhan ng exploit na ito o makakapag-interact sa mga pool na ito sa pamamagitan ng UI mula pa noong kanilang pag-deprecate.

Akin ni Raydium na ang kakulangan sa pagpapatotoo ng mga LP (liquidity provider) token mints ng lumang programa ang nagdulot ng pagkakamali.

Sa gayon, nakapag-produce ang attacker ng isang pekeng LP token dahil hindi sapat ang pag-verify ng contract sa pagmimint ng LP token. Bilang resulta, nalikom ng exploiter ang pera mula sa mga nasirang pool at nalampasan ang mga pagsusuri sa proporsyonal na pag-aari.

Ang problema, ayon sa Raydium, ay limitado lamang sa deprecated na AMM V3 codebase at hindi dulot ng napapagana na admin authority, private key, o protocol-wide security breach.

Ang mga kasalukuyang mainnet program para sa protokolo ay gumagamit ng iba’t ibang arkitektura na nagpaprotekta sa kanila sa ganitong uri ng pag-atake gamit ang mga mekanismo ng virtual supply at pag-verify ng LP mints.

Kaya, hindi naapektuhan ang mga kasalukuyang liquidity pool o aktibong mga gumagamit ng Raydium. Sinabi rin ng protokolo na ang lahat ng mga pagkawala na resulta ng paglalabag ay buong babayaran muli sa pamamagitan ng treasury ng Raydium.

Kasama na rito, isinasagawa rin ang mas detalyadong pagsusuri ng seguridad sa lahat ng mainnet programs.

Kahit may exploit, ang presyo ng RAY ay nasa $0.5815 kasunod ng 2.08% pagtaas kumpara sa nakaraang araw. Ang 8% pagbaba sa linggo at ang 30% pagbaba sa buwan, gayunpaman, ay patuloy na nagdudulot ng pag-aalala.

Sumasalungat ito sa isang iba pang exploit kung saan nakakuha ang attacker ng kontrol sa administrative bridge permissions, at tinanggal ang 141 milyong H tokens sa Ethereum.

Karagdagang,natuklasan ng mga researcher sa seguridad na isang iba pang mang-aabuso ay nag-withdraw ng halos $1.5 milyon sa WETH mula sa isang Ethereum balancer liquidity pool sa pamamagitan ng isang governance takeover attack.

Kabuuan, tumataas sa $795.3 milyon ang kabuuang amount ng perang dinala sa 2026, na may pinakamaraming paglabas sa Abril.

• Ang nagkakasala ay umalis ng halos 150,177 RAY, 5,603 SOL, at halos 893,700 USDC mula sa mga nasirang pool.
• Panatili pa rin ng RAY ang kanyang presyo, tumataas ng higit sa 2% sa nakaraang 24 oras.