Raydium, l'une des plus grandes plateformes d'échange décentralisées de Solana, a révélé une exploitation de son programme hérité Automated Market Maker V3, qui a drainé environ 1,34 million de dollars américains de cinq pools de liquidité obsolètes. L'attaque ciblait des pools qui avaient été mis hors service en 2021, ce qui signifie que ni les utilisateurs actifs ni les interfaces actuelles de Raydium n'ont été affectés.
Ce qui a été pris et comment
Les actifs drainés comprenaient environ 150 177 jetons RAY, 5 603 jetons SOL et environ 893 700 USDC. Les cinq pools affectés étaient Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY et RAY-SOL, tous ayant été dépréciés après l'arrêt du protocole Serum en 2021.
La cause racine était une faille logique autonome dans le processus de validation de la création de LP. L'attaquant a créé une création de LP frauduleuse et l'a utilisée pour contourner les contrôles de sécurité qui auraient dû bloquer le retrait. Les pools n'étaient plus pris en charge dans le kit de développement logiciel principal de Raydium ni dans son interface d'application décentralisée, mais les contrats intelligents eux-mêmes étaient toujours en ligne sur la chaîne avec des actifs réels verrouillés à l'intérieur.
Suivre l'argent
Le wallet de l'attaquant a été retracé jusqu'à KuCoin, la plateforme d'échange centralisée, ce qui suggère que c'est là que provient le financement initial de l'exploitation. Après le retrait, environ 810 ETH ont été acheminés via Tornado Cash, le mélangeur Ethereum axé sur la confidentialité.
La réponse de Raydium et le contexte plus large
Raydium a rapidement confirmé qu'il compenserait les actifs perdus directement depuis sa trésorerie. La plateforme a également annoncé un examen de sécurité complet de tous ses programmes mainnet.
La transition de Raydium loin de ces anciens pools a été motivée par la mise à la retraite de Serum, le protocole de carnet d'ordres sur chaîne qui était autrefois central à l'écosystème DeFi de Solana. Raydium a depuis migré vers de nouvelles versions de programmes, notamment V4 et V5, qui utilisent des mécanismes de fourniture virtuelle ainsi que des protocoles de vérification de compte plus stricts. Mais les anciens contrats n'ont apparemment pas été entièrement arrêtés.
Les pools actuels de Raydium, ses versions CLMM (Concentrated Liquidity Market Maker) et AMM plus récentes, n’ont pas été affectés. Le soutien de la trésorerie garantit que personne n’a subi de perte sur les fonds résiduels dans les pools obsolètes.
Les autorités américaines ont sanctionné Tornado Cash en 2022, et son utilisation continue dans le blanchiment d'attaques fournit aux régulateurs des arguments pour exiger une surveillance plus stricte des protocoles DeFi.