ハッカーが廃止されたプールから134万ドルを流出させた後、Raydiumはユーザーの損失を補填することを誓約

ハッカーがRaydiumのレガシーAMM V3プログラムの脆弱性を悪用し、2021年から廃止されていた5つの流動性プールから約134万ドルを流出させた。 

Raydiumチームは、不正な流動性の引き出しを把握していることを確認し、損失を補填することを約束した。

今回の攻撃は、Solanaベースの分散型取引所が5年前に廃止したコードを標的にしたものだ。 

RaydiumチームメンバーのInfraによると、当該プールは数年前からプラットフォームのインターフェースを通じてアクセス不能になっていたため、現在のユーザーへの影響はなかったという。Infraはまた、「全額補償はRaydiumのトレジャリーが対応する」と述べた。

攻撃者はどのようにして廃止されたプールを悪用できたのか？

Infraによると、「この脆弱性は、鍵の侵害や権限レベルの問題ではなく、自己完結型のロジック上の欠陥によって引き起こされたものであり、伝播リスクはない」とのことだ。

セキュリティ研究者のParamはX上で、攻撃者がRaydiumの2021年当時のコードに欠陥を発見したと述べた。攻撃者は資金を保有したままの5つの放棄された流動性プールを特定し、不正な所有権証明書を生成した。 

これらの偽LPトークンがレガシースマートコントラクトを騙し、攻撃者を正規の流動性の提供者として認識させることで、プール資産の全額引き出しが可能になった。

ブロックチェーンセキュリティ企業F12がこの報告を裏付け、オンチェーンで攻撃を追跡した。この悪用は、供給量がわずか1単位の偽造LPトークンに依存していた。攻撃者がそのトークンを使って出金を申請すると、旧プログラムがプール残高全体を解放した。

攻撃者は盗んだ資金をどこに移動させたのか？

PeckShieldAlertの報告によると、攻撃者のウォレットはKuCoinを通じて最初に資金が供給された。Solana上でプールを流出させた後、deBridgeを経由してイーサリアムブロックチェーンに盗んだ資金をブリッジし、約810 ETHを獲得した。 

PeckShieldAlertの分析によると、攻撃者はその大部分をトランザクションの出所を隠すために頻繁に使用されるミキシングプロトコル、Tornado Cashに入金した。その後、7 ETHをFixedFloatを通じて移動させた。

Raydiumチームによると、悪用者のアドレスは4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVkとのことだ。

レガシーコード、現在のリスク

Infraによると、Raydiumの現行プログラムは依然として稼働中だ。DefiLlamaのデータによると、このプロトコルはSolana上で7億9656万ドルのTVL（総預かり資産）を保有し、過去7日間で11億ドル以上のDEX取引量を処理している。 

今回悪用されたAMM V3プログラムは、現在使用中のプールとは別のものだ。

しかし、Raydiumがセキュリティ侵害に遭うのはこれが初めてではない。2022年12月、このプロトコルは秘密鍵の漏洩により440万ドルを失った。

今回の最新の侵害は、2026年における暗号資産の悪用がほぼ毎日発生するという状況に加わるものだ。 

Cryptopolitanはこれまでに、CertiKが5月だけで60件のセキュリティインシデントを記録し、総損失額は6830万ドルに上り、今年最多の月間インシデント数となったと報告している。コードの脆弱性がその損失の4500万ドル以上を占めた。

Raydiumの悪用の数日前、Gnosis PayとTesseraDAOへの攻撃でプロジェクトは少なくとも250万ドルの損失を被り、Flooring Protocolの脆弱性は共有コードを通じてそのフォークであるAsteriskにも広がった。

5月末時点で、2026年における暗号資産悪用による累積損失は13億ドルに迫っている。PeckShieldによると、ブリッジ関連の攻撃だけでその3億4070万ドルを占めるという。

Raydiumチームは、コアコントリビューターが全メインネットプログラムのセキュリティレビューを実施中であると述べた。

リーダーシップは影響を受けた流動性の提供者に補償すると述べているものの、Raydiumはいつ、どのように補償されるかを具体的には開示していない。

最も賢い暗号資産の専門家たちはすでに当社のニュースレターを読んでいます。参加しませんか？ぜひご参加ください。