Децентралізована біржа Raydium на базі Solana підтвердила експлойт, націлений на її застарілу програму AMM V3, який вилучив приблизно 1,34 мільйона доларів США з неактивних пулів ліквідності. Атака зачепила пари RAY-SOL, USDC-RAY та SRM-RAY, вивівши приблизно 150 000 RAY, 5 600 SOL і майже 900 000 USDC. Raydium пов’язала вразливість із недостатньою валідацією м’ятків LP у застарілій програмі, яку було виведено з обігу в 2021 році. Протокол зазначив, що поточні програми в мережі mainnet не постраждали, та пообіцяв повне відшкодування з казначейства. Інцидент підкреслює триваючі ризики безпеки від «вимкнених» смартконтрактів, які залишаються в мережі навіть після того, як протоколи припиняють підтримку на рівні front-end.
Raydium визначила недостатню валідацію LP Mint як причину експлойту
Raydium заявила, що вразливість виникла через недостатню валідацію LP mints, що дозволило атакувальнику обійти заплановані перевірки пропорцій. Націлена програма автоматизованого маркетмейкера була виведена з обігу в 2021 році та з того часу не була доступна через інтерфейс біржі. Протокол зазначив, що його SDK та DAPP не підтримують взаємодію в mainnet із пулами legacy AMM V3.
Постраждалі пули включали пари RAY-SOL, USDC-RAY та SRM-RAY. Перші оцінки показали, що атакувальник вивів приблизно 150 000 RAY, 5 600 SOL і майже 900 000 USDC. Згідно з протоколом, експлойт не вплинув на поточні програми Raydium в mainnet. Інцидент не був пов’язаний із активною торгівлею через front-end або поточною інфраструктурою ліквідності. Атакувальник націлився на старі пул-контракти, які залишалися в мережі, хоча вже не підтримувалися основним користувацьким інтерфейсом Raydium.
Raydium виділяє кошти з казначейства для повного відшкодування користувачам
Raydium заявила, що постраждалі користувачі будуть повністю відшкодовані з її казначейства. Рішення протоколу компенсувати постраждалим користувачам із казначейства зменшує негайну фінансову шкоду для постачальників ліквідності. Повне відшкодування знижує ризик того, що відносно невеликий експлойт перетвориться на ширшу репутаційну проблему для протоколу.
План компенсацій вирішує питання залежності децентралізованої біржі від довіри постачальників ліквідності. Відповідь казначейства передбачає компенсації для користувачів, чиї активи було вилучено з неактивних пулів. Зобов’язання Raydium покрити збитки за рахунок коштів протоколу було оголошено після розкриття експлойту.
Токен RAY зростав у ціні після оголошення про експлойт
Власний токен Raydium RAY торгувався вище в день оголошення про експлойт. Реакція ринку, ймовірно, була обмеженою, що свідчить: інвестори не розглядали експлойт як загрозу для активної торговельної інфраструктури протоколу. Така реакція, ймовірно, відображає обмежений масштаб інциденту, «legacy»-характер ураженої програми та план компенсацій, підкріплений казначейством.
Хоча сума збитків була суттєвою для постраждалих користувачів, вона була невеликою порівняно з більшими експлойтами в DeFi, і її швидко компенсували зобов’язанням щодо повного відшкодування. Ця комбінація допомогла запобігти ширшому шоку довіри. Користувачам повідомили, що поточні програми не постраждали, офіційні інтерфейси не підтримують застарілі пули, а кошти казначейства покриють збитки.
Raydium підтверджує, що поточні програми в mainnet перебувають на розгляді безпеки
Raydium заявила, що її поточні програми в mainnet проходять окрему перевірку безпеки. Цей крок дає протоколу можливість відокремити ризики legacy від робочої інфраструктури та заспокоїти користувачів, що активні ринки не піддаються тій самій вразливості. Протокол зазначив, що перевірка безпеки охоплює програми, які наразі використовуються в його розгортанні в mainnet.
Різниця має значення, оскільки інцидент не був пов’язаний із активною торгівлею через front-end або поточною інфраструктурою ліквідності. Raydium заявила, що націлену програму автоматизованого маркетмейкера було виведено з обігу в 2021 році. Протокол підтвердив, що його SDK та DAPP не підтримують взаємодію в mainnet із пулами legacy AMM V3, що обмежує експозицію через офіційні канали.
FAQ
Що спричинило експлойт Raydium, який вилучив активи на 1,34 мільйона доларів США?
Raydium заявила, що вразливість виникла через недостатню валідацію LP mints у її застарілій програмі AMM V3, що дозволило атакувальнику обійти заплановані перевірки пропорцій. Націлена програма автоматизованого маркетмейкера була виведена з обігу в 2021 році та з того часу не була доступна через інтерфейс біржі.
Як Raydium відреагувала на користувачів, яких зачепив експлойт із legacy-пулом?
Raydium зобов’язалася повністю відшкодувати постраждалим користувачам із власного казначейства. Протокол заявив, що користувачам, чийі активи було вилучено з неактивних пулів RAY-SOL, USDC-RAY та SRM-RAY, буде надано повну компенсацію.
Чому токен RAY зростав у ціні після повідомлення про експлойт?
Реакція ринку виглядала обмеженою, оскільки експлойт зачепив неактивні пули, пов’язані зі старою програмою AMM, а не поточну торговельну систему Raydium. Інвестори не розглядали експлойт як загрозу для активної торговельної інфраструктури протоколу, зважаючи на обмежений масштаб, «legacy»-характер ураженої програми та план компенсацій, підкріплений казначейством.
