Sàn giao dịch phi tập trung Raydium dựa trên Solana đã xác nhận một vụ khai thác nhắm vào chương trình AMM V3 phiên bản cũ của mình, qua đó đã lấy đi khoảng 1,34 triệu USD tài sản khỏi các pool thanh khoản không hoạt động. Cuộc tấn công ảnh hưởng đến các cặp RAY-SOL, USDC-RAY và SRM-RAY, rút khoảng 150.000 RAY, 5.600 SOL và gần 900.000 USDC. Raydium cho rằng lỗ hổng xuất phát từ việc chương trình legacy thiếu cơ chế xác thực đầy đủ đối với mint của LP, và chương trình này đã bị loại bỏ dần từ năm 2021. Giao thức cho biết các chương trình mainnet hiện tại không bị ảnh hưởng và cam kết hoàn trả đầy đủ từ quỹ dự trữ (treasury). Sự cố cho thấy các rủi ro bảo mật vẫn còn tồn tại từ các hợp đồng thông minh đã ngừng sử dụng, nhưng vẫn nằm trên blockchain ngay cả sau khi các giao thức dừng hỗ trợ front-end.
Raydium xác định việc thiếu xác thực LP Mint là nguyên nhân vụ khai thác
Raydium cho biết lỗ hổng bắt nguồn từ việc xác thực chưa đủ đối với các LP mint, cho phép kẻ tấn công vượt qua các kiểm tra tỷ lệ (proportion) được thiết kế sẵn. Chương trình tạo lập thị trường tự động (automated market maker) bị nhắm tới đã bị loại bỏ dần vào năm 2021 và không còn được truy cập thông qua giao diện của sàn kể từ đó. Giao thức nêu rõ SDK và DAPP của họ không hỗ trợ tương tác mainnet với các pool AMM V3 phiên bản cũ.
Các pool bị ảnh hưởng bao gồm các cặp RAY-SOL, USDC-RAY và SRM-RAY. Các ước tính ban đầu cho thấy kẻ tấn công đã rút khoảng 150.000 RAY, 5.600 SOL và gần 900.000 USDC. Theo giao thức, vụ khai thác không ảnh hưởng đến các chương trình mainnet hiện tại của Raydium. Sự cố cũng không liên quan đến giao dịch front-end đang hoạt động hoặc hạ tầng thanh khoản hiện tại. Kẻ tấn công nhắm vào các hợp đồng pool cũ vẫn còn tồn tại trên chuỗi dù không còn được hỗ trợ bởi giao diện người dùng chính trên Raydium.
Raydium cam kết sử dụng quỹ để hoàn trả đầy đủ cho người dùng
Raydium cho biết những người dùng bị ảnh hưởng sẽ được hoàn trả đầy đủ từ treasury. Quyết định của giao thức bồi thường từ quỹ giúp giảm thiệt hại tài chính tức thời đối với các nhà cung cấp thanh khoản. Việc hoàn trả đầy đủ giúp giảm khả năng một vụ khai thác có quy mô tương đối nhỏ trở thành vấn đề nghiêm trọng về uy tín đối với giao thức.
Kế hoạch hoàn trả giải quyết sự phụ thuộc của sàn giao dịch phi tập trung vào niềm tin của nhà cung cấp thanh khoản. Phản hồi từ treasury đưa ra khoản bù đắp cho người dùng khi tài sản của họ bị lấy khỏi các pool không hoạt động. Cam kết của Raydium nhằm chi trả các khoản lỗ từ quỹ giao thức đã được công bố sau khi lộ thông tin vụ khai thác.
RAY Token giao dịch cao hơn sau khi công bố vụ khai thác
Token RAY gốc của Raydium giao dịch tăng giá vào ngày công bố vụ khai thác. Phản ứng của thị trường dường như bị giới hạn, cho thấy nhà đầu tư không xem vụ khai thác là mối đe dọa đối với hạ tầng giao dịch đang hoạt động của giao thức. Phản ứng này nhiều khả năng phản ánh phạm vi hạn chế của sự cố, tính legacy của chương trình bị ảnh hưởng và kế hoạch bồi thường được hậu thuẫn bởi treasury.
Mức mất mát, dù đáng kể đối với những người dùng bị ảnh hưởng, lại nhỏ so với các vụ khai thác DeFi quy mô lớn hơn và nhanh chóng được đi kèm cam kết hoàn trả đầy đủ. Tổ hợp này giúp ngăn chặn một cú sốc niềm tin lan rộng. Người dùng được cho biết các chương trình hiện tại không bị ảnh hưởng, các giao diện chính thức không hỗ trợ các pool phiên bản cũ và quỹ từ treasury sẽ chi trả các khoản lỗ.
Raydium xác nhận các chương trình mainnet hiện tại đang được rà soát bảo mật
Raydium cho biết các chương trình mainnet hiện tại của họ đang trải qua một cuộc rà soát bảo mật riêng. Bước này tạo cơ hội để giao thức tách rủi ro legacy khỏi hạ tầng vận hành và trấn an người dùng rằng các thị trường đang hoạt động không bị phơi nhiễm với cùng lỗ hổng. Giao thức cho biết việc rà soát bảo mật bao gồm các chương trình đang được sử dụng trên bản triển khai mainnet của họ.
Sự phân biệt này quan trọng vì sự cố không liên quan đến giao dịch front-end đang hoạt động hay hạ tầng thanh khoản hiện tại. Raydium cho biết chương trình tạo lập thị trường tự động (automated market maker) bị nhắm tới đã bị loại bỏ dần vào năm 2021. Giao thức xác nhận SDK và DAPP của họ không hỗ trợ tương tác mainnet với các pool AMM V3 phiên bản cũ, qua đó hạn chế mức phơi nhiễm thông qua các kênh chính thức.
FAQ
Điều gì đã gây ra vụ khai thác Raydium khiến tài sản trị giá 1,34 triệu USD bị rút đi?
Raydium cho biết lỗ hổng xuất phát từ việc thiếu xác thực đối với các LP mint trong chương trình AMM V3 phiên bản cũ, cho phép kẻ tấn công vượt qua các kiểm tra tỷ lệ (proportion) được thiết kế sẵn. Chương trình tạo lập thị trường tự động bị nhắm tới đã bị loại bỏ dần vào năm 2021 và không còn được truy cập thông qua giao diện của sàn kể từ đó.
Raydium đã phản hồi ra sao đối với người dùng bị ảnh hưởng bởi vụ khai thác pool phiên bản cũ?
Raydium cam kết hoàn trả đầy đủ cho người dùng bị ảnh hưởng từ treasury của mình. Giao thức cho biết những người dùng có tài sản bị rút khỏi các pool RAY-SOL, USDC-RAY và SRM-RAY phiên bản không hoạt động sẽ được bồi thường đầy đủ.
Vì sao token RAY giao dịch cao hơn sau khi công bố vụ khai thác?
Phản ứng thị trường dường như bị giới hạn vì vụ khai thác nhắm vào các pool không hoạt động gắn với một AMM cũ, thay vì hệ thống giao dịch hiện tại của Raydium. Nhà đầu tư không xem vụ khai thác là mối đe dọa đối với hạ tầng giao dịch đang hoạt động của giao thức, do phạm vi hạn chế, tính legacy của chương trình bị ảnh hưởng và kế hoạch bồi thường được hậu thuẫn bởi treasury.
