また一日、また別の不正利用。
6月10日、Solanaベースの分散型取引所[DEX] Raydiumは、そのレガシーAMM V3プログラムにコーディングの不備を発見しました。この脆弱性により、攻撃者が複数の非推奨の流動性プールから資金を引き出せる状態になっていました。
背景として、AMM V3はRaydiumが2021年に使用を停止し、SDK、ユーザーインターフェース、現在のDAppを通じて利用できなくなったプログラムでした。脆弱性を悪用して、攻撃者は5つのプールから約134万ドル分の仮想通貨を引き出しました。
プールとトークンが侵害されました
予備的な推定によると、攻撃者は影響を受けたプールから約150,177 Raydium [RAY]、5,603 Solana [SOL]、およびほぼ893,700 USDCを引き出しました。
これにはRAY-SOL、USDC-RAY、SRM-RAY、Sollet USDT-RAY、およびSollet ETH-RAYペアが含まれます。PeckShieldは、FixedFloatに預けられた7個のEthereum [ETH]と、Tornado Cashに送金された810 ETHも追跡しました。
しかし、コミュニティを安心させるために、RaydiumはXで次のように述べました、
この攻撃により、Raydiumの現在のユーザーは影響を受けておらず、これらのプールは廃止されているため、UIを通じてアクセスすることもできませんでした。
この攻撃の主な原因は何でしたか?
Raydiumは、この脆弱性がレガシープログラムがLP(流動性提供者)トークンのミントを不十分に検証したことが原因であると主張しています。
しかし、攻撃者はLPトークンの発行を十分に検証しなかったため、偽のLPトークンを生成できました。その結果、攻撃者は影響を受けたプールから資金を引き出し、比例所有権のチェックを回避しました。
レイディウムは、この問題は廃止されたAMM V3のコードベースに限定されており、管理者権限や秘密鍵の compromis、またはプロトコル全体のセキュリティ侵害が原因ではないと強調した。
現在のプロトコルのメインネットプログラムは、バーチャルサプライメカニズムを使用し、LPミントを検証することで、このような攻撃から保護される異なるアーキテクチャを採用しています。
したがって、現在の流動性プールやアクティブなRaydiumユーザーは影響を受けませんでした。プロトコルはまた、この攻撃によって発生したすべての損失がRaydiumの財務から完全に補填されると述べました。
それに加えて、すべてのメインネットプログラムに対するより徹底したセキュリティレビューも実施されています。
価格への影響とその他の情報
興味深いことに、この攻撃にもかかわらず、RAYの価格は前日比2.08%上昇の$0.5815で取引されました。ただし、週間で8%、月間で30%の下落は引き続き懸念を招いています。
これは、攻撃者が管理用ブリッジ権限を乗っ取り、Ethereum上でのHトークン1億4100万枚を枯渇させた別の攻撃と重なった。
さらに、セキュリティ研究者は、別の攻撃者がEthereumのBalancer流動性プールから約150万ドルのWETHを引き出したことを発見しました。この攻撃はガバナンス乗っ取り攻撃によって行われました。
合計で、2026年に盗まれた資金の総額は7億9530万ドルに上り、4月が最も多くの不正侵入が発生した月でした。
最終サマリー
- 不正行為者は、影響を受けたプールから約150,177 RAY、5,603 SOL、およびほぼ893,700 USDCを引き出しました。
- RAYの価格は依然として影響を受けず、過去24時間で2%以上上昇しました。