Raydium bestätigte einen Exploit, der 1,34 Millionen Dollar durch unbefugte Liquiditätsentnahme aus seinem Legacy-AMM-V3-Programm abgezweigt hat — einer Reihe von Pools, die 2021 eingestellt wurden. Der Angriffsvektor umfasste gefälschte LP-Token, die verwendet wurden, um mit dem veralteten Vertrag zu interagieren, der auf der Ebene des Smart Contracts nie vollständig stillgelegt wurde.
Warum es wichtig ist
Der Exploit zielt auf eine Infrastruktur ab, die Raydium selbst vor Jahren aus seiner Benutzeroberfläche entfernt hat, was bedeutet, dass keine aktuellen Benutzer durch normale Produktinteraktionen gefährdet waren. Dennoch wirft die Tatsache, dass ein inaktiver, veralteter Vertrag zugängliche Liquidität hielt — und dass ein Angreifer einen Weg fand, diese abzuziehen — eine breitere Frage darüber auf, wie DeFi-Protokolle mit der Verwaltung von Verträgen am Ende ihrer Lebensdauer umgehen. Das Belassen von Legacy-Code on-chain, ohne die Berechtigungen vollständig zu widerrufen oder verbleibende Mittel abzuziehen, ist eine bekannte Angriffsfläche, und dieser Vorfall ist eine eindringliche Erinnerung an dieses Risiko im gesamten Solana-DeFi-Ökosystem.
Marktauswirkungen
Der Verlust von 1,34 Millionen Dollar ist im Verhältnis zur gesamten Liquidität von Raydium begrenzt, und das Protokoll hat klargestellt, dass aktive Benutzer und aktuelle Pools nicht betroffen sind. Dennoch trägt die Nachricht zu einer anhaltenden Erzählung über die Sicherheit von Smart Contracts auf Solana-basierten AMMs bei. Händler und LPs auf Raydium sollten offizielle Kanäle überwachen, um weitere Informationen über verbleibende Legacy-Verträge zu erhalten, und der breitere Solana-DeFi-Raum könnte eine erneute Überprüfung von veralteten, aber nicht zerstörten Programmkonten erfahren.
Häufig gestellte Fragen
-
Sind aktuelle Raydium-Benutzer oder aktive Liquiditätspools von diesem Exploit betroffen?
Nein. Raydium bestätigte, dass nur sein Legacy-AMM-V3-Programm — das 2021 eingestellt wurde — betroffen war. Aktuelle Benutzer konnten nicht mit den anfälligen Pools über die Standard-Benutzeroberfläche interagieren, und aktive Pools bleiben unbeeinträchtigt.
-
Wie konnte der Angreifer Gelder aus bereits veralteten Pools abziehen?
Der Exploit verwendete gefälschte LP-Token, um unbefugte Liquiditätsentnahmen direkt auf der Ebene des Smart Contracts auszulösen. Da der Legacy-AMM-V3-Vertrag on-chain nie vollständig stillgelegt wurde, blieb er trotz der Einstellung des Produkts außerhalb der Benutzeroberfläche zugänglich.
-
Welches breitere Risiko hebt dieser Vorfall für Solana-DeFi-Protokolle hervor?
Er unterstreicht, dass veraltete Smart Contracts, die on-chain mit verbleibender Liquidität und nicht widerrufenen Berechtigungen zurückgelassen werden, weiterhin aktive Angriffsflächen darstellen. Protokolle, die Produkte über die Benutzeroberfläche einstellen, ohne die zugrunde liegenden Verträge abzuziehen oder…
WuBlockchain
TheBlock
CryptoSlate
CoinDesk
Lookonchain