Raydium, um dos maiores exchanges descentralizados da Solana, revelou uma exploração em seu programa legado Automated Market Maker V3 que desviou aproximadamente US$ 1,34 milhão de cinco pools de liquidez descontinuados. O ataque visou pools que haviam sido descontinuados em 2021, o que significa que nenhum usuário ativo ou interface atual da Raydium foi afetado.
O que foi retirado e como
Os ativos drenados incluíam aproximadamente 150.177 tokens RAY, 5.603 tokens SOL e cerca de 893.700 USDC. Os cinco pools afetados foram Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY e RAY-SOL, todos os quais haviam sido descontinuados após o encerramento do protocolo Serum em 2021.
A causa raiz foi uma falha lógica autocontida no processo de validação da cunhagem de provedores de liquidez. O atacante criou uma cunhagem fraudulenta de LP e a utilizou para contornar os controles de segurança que deveriam ter bloqueado a retirada. Os pools já não eram mais suportados no kit de desenvolvimento principal da Raydium nem na interface front-end da aplicação descentralizada, mas os contratos inteligentes ainda estavam ativos na cadeia, com ativos reais bloqueados dentro deles.
Seguindo o dinheiro
A carteira do atacante foi rastreada até a KuCoin, a exchange centralizada, sugerindo que é de lá que originou-se o financiamento inicial do exploit. Após o saque, aproximadamente 810 ETH foram encaminhados através do Tornado Cash, o misturador de ethereum focado em privacidade.
A resposta da Raydium e o quadro geral
Raydium agiu rapidamente para confirmar que compensaria os ativos perdidos diretamente de seu tesouro. A exchange também anunciou uma revisão de segurança abrangente de todos os seus programas mainnet.
A transição do Raydium longe desses pools mais antigos foi impulsionada pela descontinuação do Serum, o protocolo de livro de ordens on-chain que um dia foi central para o ecossistema DeFi do Solana. O Raydium desde então migrou para versões mais recentes do programa, incluindo V4 e V5, que utilizam mecanismos de oferta virtual juntamente com protocolos mais rigorosos de verificação de contas. Mas os contratos antigos aparentemente não foram totalmente encerrados.
Os pools atuais da Raydium, sua versão CLMM (Market Maker de Liquidez Concentrada) e as versões mais recentes de AMM, não foram afetados. O suporte do tesouro significa que ninguém que tinha fundos residuais nos pools descontinuados deve ter sofrido perdas.
As autoridades dos EUA sancionaram o Tornado Cash em 2022, e seu uso contínuo na lavagem de ativos de explorações fornece aos reguladores argumentos para defender uma supervisão mais rigorosa dos protocolos DeFi.