Ang Raydium, isa sa mga pinakamalaking decentralized exchange sa Solana, ay inihayag ang isang exploit sa kanyang legacy na Automated Market Maker V3 program na nag-uubos ng halos $1.34 milyon mula sa limang deprecated na liquidity pools. Ang pag-atake ay tumutok sa mga pool na inalis na noong 2021, kaya hindi nasasakop ang anumang aktibong user o kasalukuyang interface ng Raydium.
Ano ang kinuha at paano
Ang mga ari-arian na nasayang ay kasama ang halos 150,177 na RAY tokens, 5,603 na SOL tokens, at humigit-kumulang na 893,700 na USDC. Ang limang nasabing pool ay ang Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY, at RAY-SOL, na lahat ay inalis na pagkatapos ipagpahinga ang Serum protocol noong 2021.
Ang pangunahang sanhi ay isang sariling nakapaloob na kakulangan sa lohika ng proseso ng pag-verify ng pagmimint ng liquidity provider. Gumawa ang attacker ng fraudulent na LP mint at ginamit ito upang i-bypass ang mga pagsusuri sa seguridad na dapat ay nakabawal sa pag-withdraw. Ang mga pool ay hindi na suportado sa pangunahing software development kit ng Raydium o sa kanilang front end na decentralized application, ngunit ang mga smart contract mismo ay patuloy na nasa-chain kasama ang mga aktwal na ari-arian na nakaputol.
Susunod ang pera
Ang wallet ng attacker ay nasuri at pinagmulan sa KuCoin, ang sentralisadong exchange, na nagpapahiwatig na doon nagsimula ang unang pondo para sa exploit. Pagkatapos ng pagbubuwal, halos 810 ETH ay ipinadala sa Tornado Cash, ang privacy-focused na Ethereum mixer.
Sagot ni Raydium at ang mas malaking larawan
Agad na nag-confirm ang Raydium na magkakaroon ng kompensasyon sa nawalang mga ari-arian mula sa kanyang treasury. Ang exchange ay nag-anunsyo rin ng isang komprehensibong pagsusuri ng seguridad sa lahat ng kanyang mainnet programs.
Ang paglipat ni Raydium sa mga lumang pool ay dinudulot ng pag-deprecate ng Serum, ang on-chain order book protocol na dating sentral sa DeFi ecosystem ng Solana. Noong panahong iyon, nagmigrasyon na si Raydium sa mas bagong bersyon ng program kabilang ang V4 at V5, na gumagamit ng virtual supply mechanisms kasama ang mas mahigpit na mga protokolo sa pag-verify ng account. Ngunit tila hindi buong pinagtapos ang mga lumang contract.
Hindi naapektuhan ng kasalukuyang mga pool ni Raydium, ang CLMM (Concentrated Liquidity Market Maker) at mga bagong bersyon nito. Ang treasury backstop ay nangangahulugan na walang sinoman na may natirang pera sa mga deprecated na pool ang mawawala sa pera.
Sinanction ng mga awtoridad ng US ang Tornado Cash noong 2022, at ang patuloy na paggamit nito sa paglilinis ng kita mula sa pag-eksplota ay nagbibigay ng armas sa mga regulador upang ipaglaban ang mas mahigpit na pagmamalay sa mga protokolo ng DeFi.