Raydium, одна из крупнейших децентрализованных бирж Solana, сообщила об эксплуатации устаревшей программы Automated Market Maker V3, которая похитила около 1,34 млн долларов из пяти устаревших пулов ликвидности. Атака была направлена на пулы, которые были выведены из эксплуатации еще в 2021 году, что означает, что ни активные пользователи, ни текущие интерфейсы Raydium не были затронуты.
Что было взято и как
Изъятые активы включали примерно 150 177 токенов RAY, 5 603 токена SOL и около 893 700 USDC. Пять затронутых пулов: Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY и RAY-SOL, все из которых были устаревшими после прекращения поддержки протокола Serum в 2021 году.
Основной причиной стала внутренняя логическая ошибка в процессе проверки создания LP-токенов. Злоумышленник создал фальшивый LP-майнт и использовал его для обхода механизмов безопасности, которые должны были заблокировать вывод средств. Пулы больше не поддерживались в основном программном наборе разработчика Raydium или на фронтенде децентрализованного приложения, но смарт-контракты оставались активными в сети с реальными активами, заблокированными внутри.
Следуйте за деньгами
Кошелек злоумышленника был прослежен до KuCoin — централизованной биржи, что указывает на то, что именно там originated первоначальное финансирование эксплуатации. После хищения примерно 810 ETH были направлены через Tornado Cash — конфиденциальный миксер ethereum.
Ответ Raydium и более широкая картина
Raydium быстро подтвердила, что компенсирует утраченные активы напрямую из своего казначейства. Биржа также объявила о всестороннем аудите безопасности всех своих программ на мейннете.
Переход Raydium от этих более старых пулов был обусловлен устареванием Serum — протокола книжки ордеров на цепочке, который ранее был центральным элементом DeFi-экосистемы Solana. Raydium перешел на более новые версии программ, включая V4 и V5, которые используют механизмы виртуального предложения вместе с более строгими протоколами верификации аккаунтов. Однако старые контракты, по-видимому, не были полностью закрыты.
Текущие пулы Raydium, его CLMM (Concentrated Liquidity Market Maker) и новые версии AMM, не были затронуты. Фонд резервирования казначейства означает, что никто, у кого оставались средства в устаревших пулах, не понес потерь.
Власти США наложили санкции на Tornado Cash в 2022 году, и его продолжающееся использование для отмывания средств из эксплойтов предоставляет регуляторам аргументы для требований более строгого контроля над протоколами DeFi.