อีกวันหนึ่ง อีกการโจมตีหนึ่ง
ในวันที่ 10 มิถุนายน แพลตฟอร์มแลกเปลี่ยนแบบกระจายศูนย์ (DEX) ที่ใช้ Solana ชื่อ Raydium พบข้อบกพร่องในการเขียนโค้ดในโปรแกรม AMM V3 รุ่นเก่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถดึงเงินออกจากกองทุนสภาพคล่องที่เลิกใช้งานไปแล้วหลายแห่ง
สำหรับข้อมูลพื้นฐาน AMM V3 เป็นโปรแกรมที่ Raydium หยุดใช้งานในปี 2021 และไม่สามารถเข้าถึงได้อีกผ่าน SDK อินเทอร์เฟซผู้ใช้ หรือ DApp ปัจจุบัน โดยการใช้ประโยชน์จากช่องโหว่ ผู้โจมตีได้ดึงคริปโตเคอเรนซีออกไปประมาณ 1.34 ล้านดอลลาร์สหรัฐจากห้าสระ
สระและโทเค็นที่ถูกโจมตี
ตามการประมาณการเบื้องต้น ผู้โจมตีได้ดึงเงินประมาณ 150,177 Raydium [RAY], 5,603 Solana [SOL], และเกือบ 893,700 USDC จากกลุ่มที่ได้รับผลกระทบ
รวมถึงคู่ RAY-SOL, USDC-RAY และ SRM-RAY, Sollet USDT-RAY และ Sollet ETH-RAY PeckShield ยังติดตาม ETH จำนวนเจ็ด Ethereum [ETH] ที่ถูกฝากเข้า FixedFloat และ 810 ETH ไปยัง Tornado Cash
อย่างไรก็ตาม เพื่อยืนยันกับชุมชน Raydium ได้โพสต์บน X ว่า
ไม่มีผู้ใช้ Raydium รายใดได้รับผลกระทบจากช่องโหว่นี้ หรือสามารถโต้ตอบกับสระเหล่านี้ผ่านอินเทอร์เฟซผู้ใช้ตั้งแต่ถูกเลิกใช้งาน
สาเหตุหลักของการโจมตีครั้งนี้คืออะไร
Raydium ระบุว่าช่องโหว่นี้เกิดจากการตรวจสอบโทเค็น LP (ผู้ให้สภาพคล่อง) ของโปรแกรมรุ่นเก่าที่ไม่เพียงพอ
อย่างไรก็ตาม ผู้โจมตีสามารถสร้างโทเค็น LP ปลอมได้เพราะสัญญาไม่ได้ตรวจสอบการสร้างโทเค็น LP อย่างเพียงพอ ผลที่ตามมาคือผู้โจมตีถอนเงินจากสระที่ได้รับผลกระทบและหลีกเลี่ยงการตรวจสอบการถือครองแบบสัดส่วน
ปัญหา รีไดอัมเน้นย้ำ จำกัดอยู่ที่รหัสฐาน AMM V3 ที่เลิกใช้งานแล้ว และไม่ได้เกิดจากอำนาจผู้ดูแลถูกโจมตี กุญแจส่วนตัวถูกเปิดเผย หรือการละเมิดความปลอดภัยของโปรโตคอลโดยรวม
โปรแกรม Mainnet ปัจจุบันของโปรโตคอลใช้สถาปัตยกรรมที่แตกต่างกันเพื่อป้องกันการโจมตีประเภทนี้ โดยใช้กลไกซัพพลายเสมือนและตรวจสอบการ mint ของ LP
ดังนั้น ไม่มีการสูญเสียใดๆ ต่อสระสภาพคล่องปัจจุบันหรือผู้ใช้งาน Raydium ที่กำลังใช้งานอยู่ โปรโตคอลยังระบุว่า การสูญเสียทั้งหมดที่เกิดจากการโจมตีจะได้รับการชดเชยเต็มจำนวนผ่านคลังทรัพยากรของ Raydium
นอกจากนี้ ยังมีการทบทวนความปลอดภัยอย่างละเอียดสำหรับโปรแกรมทั้งหมดบน Mainnet
ผลกระทบต่อราคาและอื่นๆ
น่าสนใจที่แม้จะเกิดการถูกโจมตี ราคาของ RAY อยู่ที่ 0.5815 ดอลลาร์สหรัฐ หลังจากเพิ่มขึ้น 2.08% ในวันก่อนหน้า อย่างไรก็ตาม การลดลง 8% ในสัปดาห์และ 30% ในเดือนยังคงเป็นที่กังวล
สิ่งนี้เกิดขึ้นพร้อมกับ ช่องโหว่อีกครั้ง ซึ่งผู้โจมตีได้รับการควบคุมสิทธิ์การเชื่อมต่อแบบแอดมิน ทำให้ H จำนวน 141 ล้านหน่วยบน Ethereum ถูกใช้ไปหมด
นอกจากนี้ นักวิจัยด้านความปลอดภัยพบว่าผู้โจมตีอีกคนได้ถอน WETH มูลค่าประมาณ 1.5 ล้านดอลลาร์สหรัฐจากกองทุนสภาพคล่องของ Ethereum Balancer ผ่านการโจมตีแบบ governance takeover attack
โดยรวม จำนวนเงินที่ถูกขโมยทั้งหมดในปี 2026 เพิ่มขึ้นเป็น 795.3 ล้านดอลลาร์สหรัฐ โดยเดือนเมษายนมีการถูกโจมตีมากที่สุด
สรุปสุดท้าย
- ผู้กระทำผิดได้ดึงเงินประมาณ 150,177 RAY, 5,603 SOL และเกือบ 893,700 USDC จากกลุ่มที่ได้รับผลกระทบ
- ราคาของ RAY ยังคงไม่ได้รับผลกระทบ และพุ่งขึ้นกว่า 2% ในช่วง 24 ชั่วโมงที่ผ่านมา