Hack en cours sur Solana : les liquidités de Raydium (RAY) se font siphonner

Un hacker semble avoir trouvé le moyen de drainer les fonds de Raydium, le principal échangeur décentralisé sur Solana. Il a ainsi commencé à vider les pools de liquidités en USD Coin (USDC), solana (SOL), ether (ETH) et ZBC.

PRISM lance l’alerte : les liquidités de Raydium disparaissent

Raydium est le principal automated market maker (AMM) sur Solana. Cette plateforme d’échange décentralisée permet de déposer des fonds (et de les verrouiller) dans ses coffres numériques. On parle de pools de liquidités : un ensemble de smart contracts, contenant les différents jetons. Les fournisseurs de liquidités (liquidity providers ou LP) reçoivent alors, lors de leur dépôt, des jetons (LP tokens) permettant de garder la trace de leurs fonds. Ces LP tokens sont ainsi créés lors d’un dépôt, et détruits lors d’un retrait.

PRISM, un agrégateur de liquidités sur Solana permettant de réaliser des échanges de jetons (swaps), a remarqué une activité pour le moins étrange.

There seems to be a wallet is draining LP Pools from Raydium liquidity pools using admin wallet as a signer without having/burning LP tokens.

We withdrew protocol provided PRISM/USDC liquidity from Raydium

WITHDRAW YOUR PRISM/USDC LIQUIDITY FROM RAYDIUM

— PRISM (@prism_ag) December 16, 2022

Un hacker serait donc en train de vider les pools de liquidités de Raydium, sans posséder les LP tokens correspondants. Une information confirmée par Raydium, qui parle de faille (exploit) :

An exploit on Raydium is being investigated that affected liquidity pools. Details to follow as more is known

⁰Initial understanding is owner authority was overtaken by attacker, but authority has been halted on AMM & farm programs for now
Attacker accnthttps://t.co/ZnEgL1KSwz

— Raydium (@RaydiumProtocol) December 16, 2022

Le compte incriminé est visible sur SolanaFM :

Les transactions sont également visibles sur SolScan, l’explorateur de la blockchain de Solana :

https://solscan.io/account/AgJddDJLt17nHyXDCpyGELxwsZZQPqfUsuwzoiqVGJwD

Pour l’instant, l’attaque concernerait 4 jetons (USDC, SOL, ETH, ZBC).

Une fuite de clés privées ?

Comme l’a fait remarquer OtterSec (audit et sécurité blockchain), le pirate utilise répétitivement l’instruction withdraw_pnl.

Les transactions signées correspondent à la clé publique du compte propriétaire des contrats de Raydium (HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv).

Cela signifie que la clé privée associée semble avoir été compromise. Il ne s’agirait donc pas d’une faille présente dans les smart contracts de l’AMM.

Les équipes de chercheurs en cybersécurité d’OtterSec assurent travailler avec celles de Raydium afin de trouver une solution.

En attendant, il est fortement recommandé de retirer les liquidités apportées sur Raydium. DeFi Land a réalisé une courte vidéo pour les utilisateurs qui souhaitent savoir s’ils ont des LP tokens sur Raydium :

For the folks, who do not know how to check if they have LP or how to remove it from Raydium, check out this video. Hope it helps.

Stay strong and make sure your funds are safe. pic.twitter.com/roIche0v9i

— DeFi Land (@DeFi_Land) December 16, 2022

Il faudra suivre de près l’évolution de la situation. Raydium et OtterSec assurent qu’il communiqueront sur l’affaire dès qu’il y aura de nouvelles mises à jour.

L’article Hack en cours sur Solana : les liquidités de Raydium (RAY) se font siphonner est apparu en premier sur Journal du Coin.