Raydiumは、レガシーAMM V3プログラムを狙ったエクスプロイトを確認し、稼働していない流動性プールから約$1.34 million相当の資産が流出したと発表した。攻撃はRAY-SOL、USDC-RAY、SRM-RAYのペアに及び、約150,000 RAY、5,600 SOL、そして900,000 USDC近くが流出した。Raydiumは、この脆弱性の原因をレガシープログラムにおけるLPミントの検証不足だとし、当該プログラムは2021年に段階的に廃止されていた。プロトコルは、現在のメインネットのプログラムには影響がなく、トレジャリーからの全額弁済を約束した。この事件は、プロトコルがフロントエンドのサポートを停止した後も、オンチェーンに残る引退済みスマートコントラクトによる継続的なセキュリティリスクを浮き彫りにしている。
Raydium、エクスプロイトの原因を「不十分なLPミント検証」と特定
Raydiumは、この脆弱性はLPミントの検証が不十分だったことに起因すると述べた。これにより攻撃者は、本来意図されていた比率チェックを回避できた。対象となった自動マーケットメーカープログラムは2021年に廃止されており、それ以降は取引所のインターフェースからアクセスできなかった。プロトコルによると、同社のSDKおよびDAPPは、レガシーAMM V3プールとのメインネット上での連携をサポートしていない。
影響を受けたプールにはRAY-SOL、USDC-RAY、SRM-RAYのペアが含まれていた。初期見積もりでは、攻撃者は約150,000 RAY、5,600 SOL、そして900,000 USDC近くを引き出した。プロトコルによれば、このエクスプロイトはRaydiumの現在のメインネットプログラムには影響しなかった。今回の事案は、アクティブなフロントエンドでの取引や、現在の流動性インフラとは関連していない。攻撃者は、Raydiumのメインユーザーインターフェースではもはやサポートされていないにもかかわらず、オンチェーンに残り続けている古いプールコントラクトを標的にした。
Raydium、完全なユーザー弁済のためのトレジャリー資金を拠出
Raydiumは、影響を受けたユーザーはトレジャリーから完全に払い戻されると述べた。影響を受けたユーザーへの補償をトレジャリーで行うというプロトコルの判断により、流動性提供者にとっての即時の財務的損害が軽減される。完全弁済により、比較的小さなエクスプロイトがプロトコルのより大きな評判問題に発展する可能性が抑えられる。
この補償計画は、分散型取引所が流動性提供者の信頼に依存することへの対応になっている。トレジャリーの対応により、稼働していないプールから資産が取り除かれたユーザーに補償が行われる。プロトコル資金で損失を補填するRaydiumの約束は、エクスプロイトの公表後に発表された。
RAYトークンは、エクスプロイト公表後に上昇して取引された
RaydiumのネイティブRAYトークンは、エクスプロイトが公表された当日に上昇して取引された。市場の反応は限定的だったようで、投資家はこのエクスプロイトをプロトコルのアクティブな取引インフラへの脅威とは見なしていなかった。その反応は、事件の範囲が限定されていたこと、影響を受けたプログラムがレガシーであること、そしてトレジャリー裏付けの補償計画であることを反映している可能性が高い。
損失額は、影響を受けたユーザーにとっては無視できないものだったが、より大規模なDeFiエクスプロイトに比べれば小さく、すぐに「完全弁済を行う」約束とセットで説明された。この組み合わせにより、より広範な信頼ショックの発生を防ぐのに役立った。ユーザーには、現在のプログラムは影響を受けていないこと、公式インターフェースはレガシープールをサポートしていないこと、そしてトレジャリー資金が損失を補填することが伝えられた。
Raydium、現在のメインネットプログラムがセキュリティ審査中であることを確認
Raydiumは、現在のメインネットプログラムは別のセキュリティ審査を受けていると述べた。この対応により、プロトコルはレガシーのリスクを稼働中のインフラから切り分け、アクティブな市場が同じ脆弱性の影響を受けていないことをユーザーに安心させる機会を得られる。プロトコルは、このセキュリティ審査がメインネット展開で現在使用されているプログラムを対象にしていると述べた。
この区別が重要なのは、今回の事件がアクティブなフロントエンドでの取引や、現在の流動性インフラと結びついていなかったためだ。Raydiumは、対象となった自動マーケットメーカープログラムは2021年に廃止されていたと述べた。プロトコルは、同社のSDKおよびDAPPは、レガシーAMM V3プールとのメインネット上での連携をサポートしていないと確認しており、公式チャネル経由での影響範囲が限定される。
FAQ
資産$1.34 millionを除去したRaydiumのエクスプロイトの原因は何でしたか?
Raydiumは、この脆弱性はレガシーAMM V3プログラムにおけるLPミントの検証が不十分だったことに起因すると述べた。これにより攻撃者は意図された比率チェックを回避できた。対象となった自動マーケットメーカープログラムは2021年に廃止され、それ以降は取引所のインターフェースからアクセスできなかった。
レガシープールのエクスプロイトで影響を受けたユーザーに、Raydiumはどのように対応しましたか?
Raydiumは、影響を受けたユーザーについてトレジャリーからの完全な弁済を約束した。プロトコルによると、稼働していないRAY-SOL、USDC-RAY、SRM-RAYの各プールから資産が取り除かれたユーザーは、完全に補償される。
なぜRAYトークンは、エクスプロイトの公表後に上昇して取引されたのですか?
市場の反応が限定的に見えたのは、このエクスプロイトがRaydiumの現在の取引システムではなく、古いAMMプログラムに紐づく稼働していないプールに影響したためだった。投資家は、このエクスプロイトをプロトコルのアクティブな取引インフラへの脅威とは見なしていなかった。事件の範囲が限定されていたこと、影響を受けたプログラムがレガシーであること、そしてトレジャリー裏付けの補償計画を踏まえるとそう判断できる。
