Raydium, một trong những sàn giao dịch phi tập trung lớn nhất trên Solana, đã tiết lộ một lỗ hổng trong chương trình Automated Market Maker V3 cũ, khiến khoảng 1,34 triệu USD bị đánh cắp từ năm hồ sơ thanh khoản đã bị loại bỏ. Cuộc tấn công nhắm vào các hồ sơ đã được loại bỏ từ năm 2021, nghĩa là không có người dùng hoạt động hay giao diện Raydium hiện tại nào bị ảnh hưởng.
Đã lấy đi gì và như thế nào
Các tài sản bị rút bao gồm khoảng 150.177 token RAY, 5.603 token SOL và khoảng 893.700 USDC. Năm pool bị ảnh hưởng là Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY và RAY-SOL, tất cả đều đã bị ngừng hỗ trợ sau khi giao thức Serum bị ngừng hoạt động vào năm 2021.
Nguyên nhân gốc rễ là một lỗi logic tự chứa trong quy trình xác thực việc phát hành LP. Kẻ tấn công đã tạo ra một khoản phát hành LP gian lận và sử dụng nó để vượt qua các kiểm tra bảo mật vốn nên ngăn chặn việc rút tiền. Các hồ sơ không còn được hỗ trợ trong bộ công cụ phát triển phần mềm chính của Raydium hoặc giao diện người dùng ứng dụng phi tập trung, nhưng các hợp đồng thông minh vẫn đang hoạt động trên chuỗi với các tài sản thực sự bị khóa bên trong.
Theo dõi dòng tiền
Ví của kẻ tấn công đã được truy vết về lại KuCoin, sàn giao dịch tập trung, cho thấy đây là nơi nguồn vốn ban đầu cho cuộc khai thác được khởi nguồn. Sau khi bị rút sạch, khoảng 810 ETH đã được chuyển qua Tornado Cash, công cụ trộn ethereum tập trung vào quyền riêng tư.
Phản hồi của Raydium và bức tranh tổng thể
Raydium đã nhanh chóng xác nhận rằng họ sẽ bồi thường tài sản bị mất trực tiếp từ quỹ của mình. Sàn giao dịch cũng thông báo thực hiện đánh giá bảo mật toàn diện đối với tất cả các chương trình trên mạng chính của họ.
Sự chuyển đổi của Raydium khỏi các hồ sơ cũ hơn được thúc đẩy bởi việc ngừng hỗ trợ Serum, giao thức sổ lệnh trên chuỗi từng là trung tâm của hệ sinh thái DeFi trên Solana. Raydium sau đó đã chuyển sang các phiên bản chương trình mới hơn bao gồm V4 và V5, sử dụng cơ chế cung ảo cùng các giao thức xác minh tài khoản nghiêm ngặt hơn. Nhưng các hợp đồng cũ dường như chưa được đóng hoàn toàn.
Các pool hiện tại của Raydium, bao gồm CLMM (Concentrated Liquidity Market Maker) và các phiên bản AMM mới hơn, không bị ảnh hưởng. Việc hỗ trợ từ quỹ kho bạc đảm bảo rằng không ai có số dư còn lại trong các pool đã lỗi thời sẽ bị mất tiền.
Các cơ quan chức năng Hoa Kỳ đã trừng phạt Tornado Cash vào năm 2022, và việc tiếp tục sử dụng nó trong rửa tiền từ các vụ khai thác đã cung cấp cho các nhà quản lý luận cứ để yêu cầu giám sát chặt chẽ hơn đối với các giao thức DeFi.