開発元から発表によれば、Solanaベースの分散型取引所Raydiumが攻撃を受けた。同チームによる初期調査の結果、攻撃者が取引所のオーナーアカウントを乗っ取ったことが判明した。チームは、自動化されたマーケットメーカーとファームプログラムに対する権限は、現時点では一時停止されていると述べている。
An exploit on Raydium is being investigated that affected liquidity pools. Details to follow as more is known
— Raydium (@RaydiumProtocol) December 16, 2022
⁰Initial understanding is owner authority was overtaken by attacker, but authority has been halted on AMM & farm programs for now
Attacker accnthttps://t.co/ZnEgL1KSwz
ツイッターユーザーでリサーチャーのZachXBTは、攻撃者がこれまでに200万ドルをイーサリアムにブリッジししていると報告した。
Then bridged to ETH (~$2m so far)https://t.co/3OYxDThv7I
— ZachXBT (@zachxbt) December 16, 2022
12月16日午後2時(UTC)頃、Raydiumの管理者アカウントがSolanaネットワークに約1,000件のトランザクションをポストした。
各トランザクションは、対応するLPトークンを預けることなくRaydiumから流動性を取り除き、流動性プロバイダーの資金を取得していた。USDコイン(USDC)、ラップドSOL(wSOL)、Raydiumなど、さまざまなトークンがこの攻撃で奪われた。
この攻撃は、Prismの開発チームによって最初に発見された。彼らは2時1分(UTC)に、攻撃者が入金せずにRaydiumから流動性を流出させ、LPトークンをバーンしているとの警告を掲載した。Prismはユーザーに、PrismとUSDCのトークンをすぐにRaydiumから出金するよう警告した。
— PRISM (@prism_ag) December 16, 2022
There seems to be a wallet is draining LP Pools from Raydium liquidity pools using admin wallet as a signer without having/burning LP tokens.
We withdrew protocol provided PRISM/USDC liquidity from Raydium
WITHDRAW YOUR PRISM/USDC LIQUIDITY FROM RAYDIUM
40分後、Raydiumチームはツイッターで、取引所がハッキングされたことを確認した。
仮想通貨監査会社Ottersecによると、攻撃者は、開発者が手数料を引き出すために使用するコントラクトのwrawal_pnl関数を呼び出して資金を流出させた。この関数は、プールからすべての流動性を引き出すために使用できるのか、それともごく一部の流動性を引き出すために使用できるのかについては、同社は言及していない。
仮想通貨分析会社Nansen Portfolioは、攻撃者が取引所から220万ドル以上を流出させたと指摘している。
The wallet draining LP Pools from Raydium liquidity pools has received over $2.2M now, including $1.6M $SOL
— Nansen Portfolio (@nansenportfolio) December 16, 2022
Track here: https://t.co/IQedsOstPE pic.twitter.com/OAQJgaq5Mc
記事執筆時点では、Raydiumチームはこの攻撃について調査中であり、攻撃の被害者に補償が提供されるかどうかはまだ発表されていない。
管理者アカウントのハッキングは、最近仮想通貨業界で何度も発生している問題だ。12月2日、Ankrプロトコルのデプロキーが盗まれ、攻撃者はそれを使って500万ドル相当のBNBを不正流出させた。今年の初めには、Roninブリッジが同様の手段でハッキングされた。このケースでは、攻撃者は6億ドル以上の仮想通貨を盗んでいる。
Ankrはその後、被害者に弁済し、Roninの開発元であるAxie Infinityも同様の対応をすることを表明している。