去中心化借贷协议(Raydium)核心贡献者InfraRAY周三发文确认,Solana生态最大DEX协议的旧版AMM V3遭到攻击,约134万美元流动性被移出,相关资金池自2021年停用以后已无新的价格发现。
此次受影响的5个资金池涵盖Raydium核心贡献者InfraRAY在X平台上揭露,包括Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY和RAY-SOL五组。
初步统计显示,被窃取的资产总计:
150,177枚RAY
5,603枚SOL
893,700枚USDC
三笔合起来约134万美元。Raydium财库将全额赔付损失,不影响任何持有代币的代币价格。
调查结果指向一个程式逻辑漏洞:AMM V3在验证LP代币时没有严格校对铸造地址,攻击者只需建立一组新的LP代币,冒充合法LP代币绕过协议的比例校验机制,就能从资金池中提取资产。
InfraRAY表示,这次事件是独立逻辑漏洞,并非私钥遗漏或许可权遭入侵所导致,也没有扩散风险。目前所有现行Raydium主网程序均未受到影响。
Raydium作为Solana最大的自动做市商(AMM)协议,2024年的交易量连续两个月超越以太坊的Uniswap。尽管这次攻击指向2021年就停止服务的旧版程序,但也提醒了DeFi使用者:即使协议本身执行正常,早期版本的合约逻辑漏洞也可能被链上调查员率先捕捉。
6月10日,链上调查员Specter在X平台率先发布安全警告,指出Raydium某旧流动性池疑似遭攻击。不到12小时后,Raydium核心贡献者便确认了事件细节。