Основанная на Solana децентрализованная биржа Raydium подтвердила эксплойт, нацеленный на её устаревшую программу legacy AMM V3. По данным о взломе, из неактивных пулов ликвидности было выведено примерно 1,34 миллиона долларов США в активах. Атака затронула пары RAY-SOL, USDC-RAY и SRM-RAY, выкачав приблизительно 150 000 RAY, 5 600 SOL и почти 900 000 USDC. Raydium связала уязвимость с недостаточной проверкой LP-минтов в legacy-программе, которая была выведена из эксплуатации в 2021 году. Протокол заявил, что действующие программы в мейннете не пострадали, и пообещал полное возмещение за счёт казначейства. Инцидент подчёркивает сохраняющиеся риски безопасности из-за выведенных из оборота смарт-контрактов, которые остаются в блокчейне даже после того, как протокол прекращает поддержку фронтенда.
Raydium: недостаточная валидация LP Mint стала причиной эксплойта
Raydium сообщил, что уязвимость возникла из‑за недостаточной валидации LP mints, что позволило атакующему обойти предусмотренные проверки пропорций. Нацеленный на автоматизированный маркет-мейкер (AMM) legacy-программный модуль был выведен из эксплуатации в 2021 году и с тех пор не был доступен через интерфейс биржи. Протокол заявил, что его SDK и DAPP не поддерживают взаимодействие с legacy AMM V3 пулами в мейннете.
Затронутые пулы включали пары RAY-SOL, USDC-RAY и SRM-RAY. Ранние оценки показывали, что атакующий вывел около 150 000 RAY, 5 600 SOL и почти 900 000 USDC. Эксплойт не повлиял на текущие программы Raydium в мейннете, согласно заявлению протокола. Инцидент не был связан с активной торговлей через фронтенд или с текущей инфраструктурой ликвидности. Атакующий нацелился на более старые пул-контракты, которые оставались в сети, даже несмотря на то, что они больше не поддерживались основным пользовательским интерфейсом Raydium.
Raydium выделяет средства из казначейства на полное возмещение пользователям
Raydium заявил, что пострадавшие пользователи будут полностью возмещены за счёт его казначейства. Решение протокола компенсировать потери из казначейства снижает непосредственный финансовый ущерб для поставщиков ликвидности. Полное возмещение уменьшает вероятность того, что относительно небольшой эксплойт перерастёт в более крупную репутационную проблему для протокола.
План компенсаций учитывает зависимость децентрализованных бирж от доверия со стороны поставщиков ликвидности. Ответ казначейства обеспечивает выплаты пользователям, чьи активы были выведены из неактивных пулов. Обязательство Raydium покрыть потери за счёт средств протокола было объявлено после раскрытия информации о взломе.
Токен RAY торговался выше в день раскрытия эксплойта
Токен Raydium RAY, являющийся нативным, торговался выше в день раскрытия эксплойта. Реакция рынка выглядела ограниченной, что указывает на то, что инвесторы не воспринимали эксплойт как угрозу активной торговой инфраструктуре протокола. Такая реакция, вероятно, отражает ограниченный масштаб инцидента, legacy‑характер затронутой программы и план компенсаций, подкреплённый казначейством.
При всей значимости суммы потерь для пострадавших пользователей она оказалась небольшой по сравнению с более крупными эксплойтами в DeFi, и её быстро дополнили обещанием полного возмещения. Это сочетание помогло предотвратить более широкое падение доверия. Пользователям сообщили, что текущие программы не затронуты, официальные интерфейсы не поддерживают legacy-пулы, а средства казначейства покроют потери.
Raydium: текущие программы в мейннете находятся на отдельном рассмотрении по безопасности
Raydium сообщил, что его текущие программы в мейннете проходят отдельную проверку безопасности. Этот шаг даёт протоколу возможность отделить риски legacy от работающей инфраструктуры и заверить пользователей, что активные рынки не подвергаются той же уязвимости. Протокол заявил, что проверка безопасности охватывает программы, которые в настоящее время используются при развёртывании в мейннете.
Разница важна, потому что инцидент не был связан с активной торговлей через фронтенд или с текущей инфраструктурой ликвидности. Raydium сообщила, что нацеленный AMM legacy‑программный модуль был выведен из эксплуатации в 2021 году. Протокол подтвердил, что его SDK и DAPP не поддерживают взаимодействие с legacy AMM V3 пулами в мейннете, что ограничивает экспозицию через официальные каналы.
FAQ
Что стало причиной эксплойта Raydium, в результате которого были выведены активы на сумму 1,34 миллиона долларов США?
Raydium заявила, что уязвимость связана с недостаточной проверкой LP mints в её legacy AMM V3 программе, из‑за чего атакующий смог обойти предусмотренные проверки пропорций. Нацеленный AMM legacy‑программный модуль был выведен из эксплуатации в 2021 году и с тех пор не был доступен через интерфейс биржи.
Как Raydium ответила на пользователей, пострадавших от эксплойта legacy пула?
Raydium пообещала полное возмещение пострадавшим пользователям за счёт своего казначейства. Протокол сообщил, что пользователи, чьи активы были выведены из неактивных пулов RAY-SOL, USDC-RAY и SRM-RAY, получат полную компенсацию.
Почему токен RAY торговался выше после раскрытия эксплойта?
Реакция рынка выглядела ограниченной, потому что эксплойт затронул неактивные пулы, привязанные к старой AMM-программе, а не текущую торговую систему Raydium. Инвесторы не рассматривали эксплойт как угрозу активной торговой инфраструктуре протокола с учётом ограниченного масштаба, legacy‑характера затронутой программы и плана компенсаций, подкреплённого казначейством.
