AMM-протокол Raydium подвергся взлому

Подозрительная активность началась с того, что аккаунт администратора удалил из протокола значительную ликвидность. В общей сложности в сети Solana было проведено почти 1 000 транзакций на общую сумму более $2 млн: хакеры завладели различными токенами, включая US Dollar Coin (USDC), Wrapped SOL (wSOL) и Raydium (RAY).

Представители протокола сказали, что управление автоматическими маркет-мейкерами и программами фарминга в тот момент было недоступно.

An exploit on Raydium is being investigated that affected liquidity pools. Details to follow as more is known

⁰Initial understanding is owner authority was overtaken by attacker, but authority has been halted on AMM & farm programs for now
Attacker accnthttps://t.co/ZnEgL1KSwz

— Raydium (@RaydiumProtocol) December 16, 2022

Аналитики OtterSec подтвердили, что инцидент не похож на уязвимость смарт-контракта, и квалифицировали его как взлом.

The signer on these transactions is `HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv`, the hardcoded owner pubkey from the Raydium contracts.

In other words, the root cause is probably a private key compromise. pic.twitter.com/18HVSdDwyS

— OtterSec (@osec_io) December 16, 2022

Prism помогли идентифицировать атаку

К счастью, команда Prism смогла быстро обнаружить атаку. В 14:01 UTC они оповестили сообщество о том, что кто-то выкачивает ликвидность из Raydium без надлежащего хранения или сжигания токенов LP. Через несколько минут факт атаки подтвердили и Raydium.

🚨🚨🚨🚨🚨
There seems to be a wallet is draining LP Pools from Raydium liquidity pools using admin wallet as a signer without having/burning LP tokens.

We withdrew protocol provided PRISM/USDC liquidity from Raydium

WITHDRAW YOUR PRISM/USDC LIQUIDITY FROM RAYDIUM

— PRISM (@prism_ag) December 16, 2022

Таким образом, быстрые действия и коммуникация команд помогли смягчить потенциальные последствия взлома.

Raydium предлагает взломщикам вернуть украденные средства за вознаграждение

На данный момент Raydium проводит расследование вместе с командами из Solana и сторонними аудиторами. В протокол также внедрили патч, закрывающий уязвимость.

После того, как информация об атаке стала известной, Raydium незамедлительно принял меры, отозвав права у предыдущего администратора и заменив все программные аккаунты новыми учетными записями. Команда протокола заверила пользователей, что они эффективно нейтрализовали угрозу ликвидности системы.

Создатели проекта предложили злоумышленнику вернуть все средства в обмен на вознаграждение в размере 10%. Установить контакт с ними можно через социальные сети или по адресу 0x6d3078ED15461E989fbf44aE32AaF3D3Cfdc4a90.