Önemli Çıkarımlar:
Solana'nın en büyük merkeziyetsiz borsalarından biri olan Raydium, 10 Haziran'da bir saldırganın eski AMM V3 programındaki bir açığı kullanarak 2021'den beri atıl durumda olan beş likidite havuzunu boşaltması sonucu yaklaşık 1,34 milyon dolar kaybetti.
"Saldırı, Raydium'un arayüzü üzerinden artık erişilemeyen kullanılmayan bir programla sınırlıydı," diye X'te paylaşan takma adlı katkıda bulunan 0xInfra. "Raydium'un mevcut kullanıcıları bu saldırıdan etkilenmedi."
Saldırı, Solana'daki Serum dönemine ait beş atıl havuzu hedef aldı — Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY ve RAY-SOL. 0xInfra'ya göre saldırgan, yaklaşık 150.177 RAY, 5.603 SOL ve 893.700 USDC çekti; bu miktarlar sırasıyla yaklaşık 900.000 dolar, 357.000 dolar ve 86.000 dolar değerindeydi. Saldırganın Solana adresi Bq33QVk ile bitiyor.
Eski program, LP token mint'inin meşru olup olmadığını doğrulamakta başarısız oldu ve bu da saldırganın sahte bir mint oluşturmasına ve para çekme işlemlerini yöneten oran kontrollerini atlamasına olanak tanıdı. Raydium, mevcut ana ağ programlarının sanal bir arz mekanizması ve daha sıkı LP mint doğrulaması yoluyla bu hatadan kaçındığını söyledi. Borsa, canlı programlarının ayrı bir güvenlik incelemesinden geçtiğini de ekledi.
PeckShield ve zincir üstü araştırmacı Specter, saldırganın ilk fonlamasını KuCoin'e kadar takip etti. Çalınan fonlar Solana'dan Ethereum'a köprülenerek, zincir üstü izi gizleyen bir kripto karıştırıcı olan Tornado Cash'e yatırıldı.
RAY, gün içinde %2'den fazla artışla 0,578 dolardan işlem görürken, haftalık bazda yaklaşan %7 ve tüm zamanların en yüksek seviyesi olan 16,83 doların %96,6 altında kaldı. Raydium'un yoğunlaştırılmış likidite havuzları ve daha yeni AMM sürümleri herhangi bir maruziyete sahip değildi ve toplam kaybı 1,34 milyon dolar ile sınırladı.
Olay, halka açık blok zincirlerine özgü yapısal bir riski gözler önüne seriyor: kullanımdan kaldırılan akıllı sözleşmeler, bir protokolün arayüzünden kaldırıldıktan sonra bile zincir üzerinde canlı kalmaya devam ediyor ve atıl fonları kullanılmayan koddaki güvenlik açıklarına maruz bırakıyor. Raydium, etkilenen kullanıcıları hazinesinden tazmin edeceğini açıkladı.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
