Raydium (RAY) 是一家基于 Solana (SOL) 区块链的去中心化交易所,周三披露,它遭遇了安全漏洞,导致约 134 万美元的损失。这次攻击针对的是该平台的旧版自动做市商 (AMM) V3 程序,该程序已退出现役。
攻击者耗尽了涉及 RAY-SOL、USDC-RAY 和 SRM-RAY 对的流动性池,删除了 Circle 发行的大约 150,000 个 RAY 代币、5,600 个 SOL 和近 900,000 个 USDC 稳定币。
Raydium 将此次泄露归因于旧版 AMM V3 程序处理流动性提供者 (LP) 代币铸币方式中的漏洞。根据该平台的调查,“该漏洞源于对 LP 铸币厂的验证不足,这实际上使攻击者能够绕过预期的比例检查。”遗留程序未能正确验证 LP 铸币地址,使得攻击者能够创建新的铸币并将其用作 LP 代币,从而逃避 Raydium 池内的资产会计控制。
交易所强调,受感染的 AMM V3 程序已于 2021 年逐步淘汰,无法再通过 Raydium 的用户界面访问。该团队表示:“通过 Raydium 当前的用户工具实际上无法访问旧版 AMM V3 程序。”
区块链安全公司 PeckShield 详细介绍了所谓的洗钱线索,指出攻击者的资金最初来自加密货币交易所 KuCoin,然后从 Solana 桥接到以太坊 (ETH)。 PeckShield 报告称,810 ETH 已被发送至隐私混合器 Tornado Cash,另有 7 ETH 被发送至交易服务 FixFloat,作为明显洗钱活动的一部分。
在事后分析中,Raydium 重申其当前的活动项目并未受到该事件的影响。平台确认核心贡献者正在对所有主网程序进行全面的安全审查。
使用 OpenArt 创建的特色图像;图表来自 TradingView.com。