ハッカーがRaydiumのレガシーAMM V3プログラムの脆弱性を悪用し、2021年から廃止されていた5つの流動性プールから約134万ドルを流出させました。
Raydiumチームは、無許可の流動性除去を認識しており、損失を補填することを約束したと確認しました。
この攻撃は、Solanaベースの分散型取引所が5年前にフェーズアウトしたコードを標的にしました。
RaydiumチームのメンバーであるInfraによると、プールは何年もプラットフォームのインターフェースからアクセスできなかったため、現在のユーザーは影響を受けていません。また、Infraは「全額補償はRaydiumの財務部が対応する」と述べました。
攻撃者はどのように廃止されたプールを悪用できたのか? Infraによると、「この脆弱性は自己完結型のロジック欠陥によるもので、キーの漏洩や権限レベルの問題ではないため、拡散リスクはありません。」
セキュリティ研究者 ParamはXで述べました、攻撃者がRaydiumの2021年時点のコードに欠陥を見つけたと述べました。攻撃者は資金が残っている5つの放棄された流動性プールを特定し、偽の所有権証明書を生成しました。
これらの偽LPトークンはレガシー・スマートコントラクトを騙し、攻撃者を正当な流動性提供者として扱わせ、プール資産を全額引き出すことを可能にしました。