Der Solana-basierte dezentrale Exchange Raydium bestätigte einen Exploit, der auf sein Legacy-AMM-V3-Programm abzielte und dabei grob 1,34 Millionen US-Dollar an Vermögenswerten aus inaktiven Liquiditätspools entnahm. Der Angriff betraf die Paare RAY-SOL, USDC-RAY und SRM-RAY und entleerte ungefähr 150.000 RAY, 5.600 SOL und nahezu 900.000 USDC. Raydium machte die Anfälligkeit auf eine unzureichende Validierung von LP-Mints im Legacy-Programm zurück, das 2021 ausgemustert worden war. Das Protokoll erklärte, dass die aktuellen Mainnet-Programme nicht betroffen seien, und sagte eine vollständige Erstattung aus seiner Treasury zu. Der Vorfall verdeutlicht anhaltende Sicherheitsrisiken durch stillgelegte Smart Contracts, die auf der Blockchain weiterhin existieren, auch nachdem Protokolle den Frontend-Support einstellen.
Raydium identifiziert unzureichende LP-Mint-Validierung als Ursache des Exploits
Raydium sagte, die Schwachstelle habe auf einer unzureichenden Validierung von LP-Mints beruht, die es dem Angreifer ermöglichte, beabsichtigte Proportionschecks zu umgehen. Das angezielte Automated-Market-Maker-Programm war 2021 ausgemustert worden und seitdem nicht mehr über die Oberfläche der Börse zugänglich. Das Protokoll erklärte, sein SDK und seine DAPP unterstützen keine Mainnet-Interaktionen mit den Legacy-AMM-V3-Pools.
Die betroffenen Pools umfassten die Paare RAY-SOL, USDC-RAY und SRM-RAY. Erste Schätzungen zufolge entleerte der Angreifer rund 150.000 RAY, 5.600 SOL und nahezu 900.000 USDC. Der Exploit habe laut Protokoll die aktuellen Mainnet-Programme von Raydium nicht beeinträchtigt. Der Vorfall stand nicht im Zusammenhang mit aktivem Frontend-Handel oder aktueller Liquiditätsinfrastruktur. Der Angreifer zielte auf ältere Pool-Contracts, die weiterhin on-chain waren, obwohl sie nicht mehr durch das offizielle Main-User-Interface von Raydium unterstützt wurden.
Raydium verpflichtet Treasury-Mittel für vollständige Nutzer-Erstattung
Raydium sagte, betroffene Nutzer würden vollständig aus seiner Treasury erstattet. Die Entscheidung des Protokolls, betroffene Nutzer aus seiner Treasury zu entschädigen, verringert den unmittelbaren finanziellen Schaden für Liquiditätsanbieter. Eine vollständige Erstattung begrenzt die Chance, dass ein vergleichsweise kleiner Exploit zu einem größeren Reputationsproblem für das Protokoll wird.
Der Erstattungsplan adressiert die Abhängigkeit dezentraler Exchanges vom Vertrauen der Liquiditätsanbieter. Die Reaktion der Treasury stellt eine Entschädigung für Nutzer bereit, deren Vermögenswerte aus den inaktiven Pools entfernt wurden. Ridyium kündigte sein Commitment an, Verluste aus Protokollmitteln zu übernehmen, nachdem die Schwachstelle offengelegt worden war.
RAY-Token stieg nach Bekanntgabe des Exploits höher
Der native RAY-Token von Raydium wurde am Tag der Bekanntgabe des Exploits höher gehandelt. Die Marktreaktion wirkte begrenzt, was darauf hindeutete, dass Investoren den Exploit nicht als Bedrohung für die aktive Trading-Infrastruktur des Protokolls einordneten. Diese Reaktion dürfte die begrenzte Reichweite des Vorfalls, die Legacy-Natur des betroffenen Programms sowie den treasury-gestützten Entschädigungsplan widerspiegeln.
Der Verlustbetrag war zwar für die betroffenen Nutzer erheblich, im Verhältnis zu größeren DeFi-Exploits jedoch klein, und wurde schnell von einem Commitment zur vollständigen Erstattung begleitet. Diese Kombination half dabei, einen breiteren Vertrauensschock zu verhindern. Nutzer wurden darüber informiert, dass die aktuellen Programme nicht betroffen seien, dass offizielle Interfaces die Legacy-Pools nicht unterstützen und dass Treasury-Mittel Verluste abdecken würden.
Raydium bestätigt: Aktuelle Mainnet-Programme stehen unter Sicherheitsprüfung
Raydium sagte, seine aktuellen Mainnet-Programme würden einer separaten Sicherheitsprüfung unterzogen. Dieser Schritt gibt dem Protokoll die Möglichkeit, das Legacy-Risiko von der laufenden Infrastruktur zu trennen und Nutzer zu beruhigen, dass aktive Märkte nicht derselben Verwundbarkeit ausgesetzt sind. Das Protokoll erklärte, dass die Sicherheitsprüfung Programme umfasst, die aktuell in seinem Mainnet-Deployment genutzt werden.
Die Unterscheidung ist wichtig, weil der Vorfall nicht mit aktivem Frontend-Trading oder aktueller Liquiditätsinfrastruktur verbunden war. Raydium sagte, das angezielte Automated-Market-Maker-Programm sei 2021 ausgemustert worden. Das Protokoll bestätigte, dass sein SDK und seine DAPP keine Mainnet-Interaktionen mit den Legacy-AMM-V3-Pools unterstützen, was die Exposition über offizielle Kanäle begrenzt.
FAQ
Was hat den Raydium-Exploit verursacht, der Vermögenswerte im Wert von 1,34 Millionen US-Dollar entfernt hat?
Raydium sagte, die Schwachstelle sei auf eine unzureichende Validierung von LP-Mints in seinem Legacy-AMM-V3-Programm zurückzuführen gewesen, wodurch der Angreifer beabsichtigte Proportionschecks umgehen konnte. Das angezielte Automated-Market-Maker-Programm war 2021 ausgemustert worden und seitdem nicht mehr über die Oberfläche der Börse zugänglich.
Wie hat Raydium auf Nutzer reagiert, die vom Legacy-Pool-Exploit betroffen waren?
Raydium verpflichtete sich zu einer vollständigen Erstattung der betroffenen Nutzer aus seiner Treasury. Das Protokoll sagte, dass Nutzer, deren Vermögenswerte aus den inaktiven Pools RAY-SOL, USDC-RAY und SRM-RAY entfernt wurden, vollständig entschädigt werden.
Warum wurde der RAY-Token nach der Bekanntgabe des Exploits höher gehandelt?
Die Marktreaktion wirkte begrenzt, weil der Exploit inaktive Pools betraf, die mit einem alten AMM-Programm verbunden waren, statt mit dem aktuellen Handelssystem von Raydium. Investoren betrachteten den Exploit nicht als Bedrohung für die aktive Trading-Infrastruktur des Protokolls, angesichts des begrenzten Umfangs, der Legacy-Natur des betroffenen Programms und des treasury-gestützten Entschädigungsplans.
